Watchguard SSL VPN Verbindung geht ohne ersichtlichen Fehler nicht
Bei einer unserer Watchguard Umgebungen stolperte wir über das sehr unangenehme Problem, dass sich 2 Mitarbeiter mit Toshiba Notebooks – im Gegensatz zu diversen anderen Endgeräten – nicht via Watchguard Mobile VPN über SSL zur Zentrale unseres Kunden verbinden konnten. Das Problem konnte nach diversen Tests auf diese beiden Endgeräte fixiert werden. Das Problem lag definitv nicht auf Sieten der Watchguard T30 in der Zentrale des Kunden.
Die üblichen Ansätze zur Fehlerbereinigung hatten wir bereits durchprobiert und auch die ersten Unterstützungsversuche des Watchguard Supports führten nicht zum gewünschten Erfolg.
Auf Seiten der Watchguard T30 in der Zentrale konnte man im Traffic Monitor erkennen, dass sich der SSLVPN Benutzer erfolgreich authentifizierte und wenige Sekunden darauf wieder getrennt wurde. Hierzu konnten wir dem Traffic Monitor folgende Meldung entnehmen:
… sslvpn msg=openvpn_connection_kickoff, Not found <IPv4 Adresse> in openvpn status file:/tmp/sslvpn/sslvpn-status
Im Watchguard Mobile VPN Client with SSL Logbuch der beiden Windows 7 Notebooks stellte sich der Vorgang wie folgt dar:
2016-07-16T10:51:42.412 Requesting client configuration from <Domain Name>:53
2016-07-16T10:51:43.707 VERSION file is 5.29, client version is 5.29
2016-07-16T10:51:44.752 OVPN:>HOLD:Waiting for hold release
2016-07-16T10:51:44.830 OVPN:>LOG:1468659104,D,MANAGEMENT: CMD ”
2016-07-16T10:51:44.830 OVPN:>LOG:1468659104,D,MANAGEMENT: CMD ‘hold release’
2016-07-16T10:51:44.830 OVPN:SUCCESS: hold release succeeded
2016-07-16T10:51:44.830 OVPN:>PASSWORD:Need ‘Auth’ username/password
2016-07-16T10:51:44.908 OVPN:>LOG:1468659104,D,MANAGEMENT: CMD ‘username “Auth” “<Username>”‘
2016-07-16T10:51:44.908 OVPN:SUCCESS: ‘Auth’ username entered, but not yet verified
2016-07-16T10:51:44.908 OVPN:>LOG:1468659104,D,MANAGEMENT: CMD ‘password […]’
2016-07-16T10:51:44.908 OVPN:SUCCESS: ‘Auth’ password entered, but not yet verified
2016-07-16T10:51:45.064 OVPN:>LOG:1468659104,,Socket Buffers: R=[8192->8192] S=[8192->8192]
2016-07-16T10:51:45.064 OVPN:>LOG:1468659104,,MANAGEMENT: >STATE:1468659104,RESOLVE,,,
2016-07-16T10:51:45.064 OVPN:>STATE:1468659104,RESOLVE,,,
2016-07-16T10:51:45.064 OVPN:>LOG:1468659105,I,Attempting to establish TCP connection with [AF_INET]<Public IPv4 Adress>:53 [nonblock]
2016-07-16T10:51:45.064 OVPN:>LOG:1468659105,,MANAGEMENT: >STATE:1468659105,TCP_CONNECT,,,
2016-07-16T10:51:45.064 OVPN:>STATE:1468659105,TCP_CONNECT,,,
2016-07-16T10:51:46.078 OVPN:>LOG:1468659106,I,TCP connection established with [AF_INET]<Public IPv4 Adress>:53
2016-07-16T10:51:46.078 OVPN:>LOG:1468659106,I,TCPv4_CLIENT link local: [undef]
2016-07-16T10:51:46.078 OVPN:>LOG:1468659106,I,TCPv4_CLIENT link remote: [AF_INET]<Public IPv4 Adress>:53
2016-07-16T10:51:46.078 OVPN:>LOG:1468659106,,MANAGEMENT: >STATE:1468659106,WAIT,,,
2016-07-16T10:51:46.078 OVPN:>STATE:1468659106,WAIT,,,
2016-07-16T10:51:46.156 OVPN:>LOG:1468659106,,MANAGEMENT: >STATE:1468659106,AUTH,,,
2016-07-16T10:51:46.156 OVPN:>STATE:1468659106,AUTH,,,
2016-07-16T10:51:46.156 OVPN:>LOG:1468659106,,TLS: Initial packet from [AF_INET]<Public IPv4 Adress>:53, sid=40b5c245 d01e2f06
2016-07-16T10:51:46.156 OVPN:>LOG:1468659106,W,WARNING: this configuration may cache passwords in memory — use the auth-nocache option to prevent this
2016-07-16T10:51:46.936 OVPN:>LOG:1468659106,,VERIFY OK: depth=1, /O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN__SN_70AC05DF578D3_2016-07-16_00:21:11_GMT__CA
2016-07-16T10:51:46.936 OVPN:>LOG:1468659106,,Validating certificate extended key usage
2016-07-16T10:51:46.936 OVPN:>LOG:1468659106,,++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
2016-07-16T10:51:46.936 OVPN:>LOG:1468659106,,VERIFY EKU OK
2016-07-16T10:51:46.936 OVPN:>LOG:1468659106,,VERIFY X509NAME OK: /O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server
2016-07-16T10:51:46.936 OVPN:>LOG:1468659106,,VERIFY OK: depth=0, /O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server
2016-07-16T10:51:48.964 OVPN:>LOG:1468659108,,Data Channel Encrypt: Cipher ‘AES-256-CBC’ initialized with 256 bit key
2016-07-16T10:51:48.964 OVPN:>LOG:1468659108,,Data Channel Encrypt: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2016-07-16T10:51:48.964 OVPN:>LOG:1468659108,,Data Channel Decrypt: Cipher ‘AES-256-CBC’ initialized with 256 bit key
2016-07-16T10:51:48.964 OVPN:>LOG:1468659108,,Data Channel Decrypt: Using 160 bit message hash ‘SHA1’ for HMAC authentication
2016-07-16T10:51:48.964 OVPN:>LOG:1468659108,,Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
2016-07-16T10:51:48.964 OVPN:>LOG:1468659108,I,[Fireware_SSLVPN_Server] Peer Connection Initiated with [AF_INET]92.231.240.18:53
2016-07-16T10:51:50.212 OVPN:>LOG:1468659110,,MANAGEMENT: >STATE:1468659110,GET_CONFIG,,,
2016-07-16T10:51:50.212 OVPN:>STATE:1468659110,GET_CONFIG,,,
2016-07-16T10:51:51.460 OVPN:>LOG:1468659111,,SENT CONTROL [Fireware_SSLVPN_Server]: ‘PUSH_REQUEST’ (status=1)
2016-07-16T10:51:51.834 Connection Closed.
Letzendlich wurden wir glücklicher Weise darauf Aufmerksam, dass der vom Watchguard Mobile VPN Client with SSL benötigte Netzwerkadaper ‘TAP-Windows Adapter V9’ im Geräte Manager der Windows 7 Toshiba Notebooks mit einem Ausrufezeichen versehen war.
Lösung
Der Netzwerkadapter ‘TAP-Windows Adapter V9’ wurde von uns über den Geräte Manager samt Treiber deinstalliert, die Systeme neu gestartet und folgend eine Reparaturinstallation des Watchguard Mobile VPN Client with SSL samt Haken beim ‘TAP driver’ durchgeführt. Abschließend wurden von uns die Systeme vorsichtshalber nochmals neu gestartet und kontrolliert, ob der Netzwerkadapter ‘TAP-Windows Adapter V9’ nun korrekt – also ohne Ausrufezeichen – im Geräte Manager eingebunden/aufgeführt war. Im Geräte Maager war mit dem netzwerkadapter nun alles in Ordnung und folgend konnte von den beiden Notebooks aus auch erfolgreich die Verbindung zur Watchguard T30 in der Zentrale des Kunden aufgebaut werden.
Leave a Reply
You must be logged in to post a comment.