Hallo zusammen,
ich habe heute versucht mittelns SSL VPN mich ins Firmennetzwerk einzuwählen. Nach Anleitung die Kategorie "Remote Access>>SSL" konfiguriert, aber einen einwandfreien Connect will bereits nicht klappen:
der hostename der firewall lautet: ***-firewall.domäne.local
Wir haben keine öffentliche statische IP, wir nutze einen DynDNS.org Account, der funktioniert und wurde in der Astaro / DNS eingetragen.
Der Testuser hat sich im UserPortal angemeldet, das Komplettpaket SSL VPN Client heruntergeladen, als admin installiert, als admin ausgeführt und beim Versuch zu verbinden erhalten wir das hier:
---
Thu Aug 26 22:09:03 2010 OpenVPN 2.1_rc22 i686-pc-cygwin [SSL] [LZO2] built on Mar 16 2010
Thu Aug 26 22:09:06 2010 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
Thu Aug 26 22:09:06 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Aug 26 22:09:07 2010 LZO compression initialized
Thu Aug 26 22:09:07 2010 Control Channel MTU parms [ L:1554 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Aug 26 22:09:07 2010 RESOLVE: Cannot resolve host address: ***-firewall: [HOST_NOT_FOUND] The specified host is unknown.
Thu Aug 26 22:09:07 2010 Data Channel MTU parms [ L:1554 D:1450 EF:54 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Aug 26 22:09:07 2010 Local Options hash (VER=V4): 'a75583f2'
Thu Aug 26 22:09:07 2010 Expected Remote Options hash (VER=V4): 'df0e0494'
Thu Aug 26 22:09:07 2010 RESOLVE: Cannot resolve host address: ***-firewall: [HOST_NOT_FOUND] The specified host is unknown.
Thu Aug 26 22:09:12 2010 RESOLVE: Cannot resolve host address: ***-firewall: [HOST_NOT_FOUND] The specified host is unknown.
Thu Aug 26 22:09:17 2010 RESOLVE: Cannot resolve host address: ***-firewall: [HOST_NOT_FOUND] The specified host is unknown.
-----
Bei dieser Config haben wir unter Remote Access>>SSL>>Advanced Tab>>Override hostname den HostName der Firewall (ohne die Endung domäne.local) eingetragen. Ist denke ich aber wohl Blödsinn, denn die kann er ja eh nicht auflösen? Mit der Endung domäne.local erhalten wir die gleiche Meldung, er kann es nicht auflösen.
Also wurde bei override hostname unser kompletter dyndns name eingetragen.
Wenn wir diesen anpingen, erhalten wir die richtige uns zugewiesene öffentliche ip Adresse. Das passt. Alles abegespeichtert, UserPortal, die aktuellen Daten nochmals gezogen, installiert, und beim Verbindungversuch erscheint nun:
--
Thu Aug 26 22:23:04 2010 UDPv4 link local: [undef]
Thu Aug 26 22:23:04 2010 UDPv4 link remote: ***.***.***.***:443
Thu Aug 26 22:24:04 2010 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Aug 26 22:24:04 2010 TLS Error: TLS handshake failed
Thu Aug 26 22:24:04 2010 TCP/UDP: Closing socket
Thu Aug 26 22:24:04 2010 SIGUSR1[soft,tls-error] received, process restarting
Thu Aug 26 22:24:04 2010 Restart pause, 2 second(s)
--------
Ich bin ratlos. Wo liegt der Denkfehler? Vielen Dank für die Tipps!
edit: Bei folgender Zeile:
Thu Aug 26 22:23:04 2010 UDPv4 link remote: ***.***.***.***:443
wird die aktuelle und richtige dynamische ip adresse angezeigt, die wir vom isp erhalten haben. Das passt, danach geht nichts mehr.
This thread was automatically locked due to age.
