Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 3 subscribers
  • Views 2770 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN mittels OpenVPN 2.4.X keine Verbindung / Mit Sophos Client aus dem UserPortal i.O

Thomas Müller6

Guten Morgen,

 

wir setzen eine SG310 ein mit welcher wir von außen mittels SSL VPN in unser Netzwerk zugreifen. Unsere User haben Zugriff auf das UserPortal und laden sich dort die Installationsdateien herunter. Mit dem Installer Version 2.1 klappt die Einwahl super. 

Jetzt haben wir den ersten Nutzer welcher sich mit einem OpenVPN zum VPN verbinden möchte, dieser hat sich das openvpn Konfigurationsfile herunter geladen und kann sich nicht mit dem SSL VPN Verbinden. Die Verbindung wird immer abgelehnt (TLS Error, siehe Screenshot). Leider bin ich im Moment unschlüssig warum!

Könnt Ihr helfen?

Danke

Gruß Thomas



This thread was automatically locked due to age.
  • 0

    Hey,

    in der Fehlermeldung steht, dass der Algorithmus zu schwach (too weak) wäre. EDIT: Holger hat die Lösung, siehe unten --> Das Zertifikat ist Settings-Schwachstelle.

    Prüfe unter Fernzugriff->SSL->Erweitert die Settings.

     

    Achtung: Es kann sein dass nach den Änderungen jegliches VPN Profil neu ausgerollt werden muss. 

     

     

    Gruß, Jonas

  • 0 in reply to Jonas92

    Vielen Dank,

    "CA signature digest algorithm too weak" sagt das ja vermutlich aus. Gibt es noch eine andere Idee? Problem wir haben erst 25 Notebooks fürs Homeoffice ausgegeben, alle mit dem Sophos Client. Wenn ich jetzt die Einstellungen anpasse kommt vermutlich keiner mehr ins VPN?!

     

    Sind die Einstellungen so "schlecht"? 

     

  • 0

    Hallo Thomas,

    das Problem sind nicht die Einstellungen für das SSL-VPN, sondern die CA der Firewall, von welcher die Zertifikate stammen. Ich gehe davon aus, dass die Firewall schon länger in Betrieb ist und daher auch die CA schon ein paar Jahre alt ist. Mittlerweile werden Zertifikate mit schwachen Algorithmen vom OpenVPN-Client nicht mehr unterstützt.

    Abhilfe schafft hier nur, die CA (und damit automatisch auch alle von dieser erstellen Zertifikate) auf der Firewall zu regenerieren. Oder man verwendet den SSL VPN Client von Sophos. Dieser scheint diese Prüfung nicht durchzuführen.

    Mit freundlichen Grüßen

    Holger

  • 0 in reply to Holger Gran

    Hallo Holger,

     

    vielen Dank genau das wollte ich "hören". Wir haben genau das als Ursache vermutet. Unsere CA läuft schon seit ein paar Jahren auf der Sophos korrekt. 

    Gut dann müssen wir das angehen und alle VPN´s neu Zertifizieren, dass wird noch etwas dauern aber es ist der Ansatz welchen wir hatten.

     

    Vielen vielen Dank für Info und Unterstützung!

    Gruß Thomas

Unfiltered HTML