Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 4 subscribers
  • Views 7030 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9 SSL VPN ausgerollt, Probleme bei einzelnen Usern

Marvin Krenz

Hallo Zusammen,

Wir haben bei uns im Unternehmen ein Problem welches den VPN-Zugang von diversen Usern betrifft.
Grundsätzlich läuft alles einwandfrei nur es ist nun bereits einige Male aufgetaucht, dass User sich einwählen konnten, allerdings nicht über das Netzwerk arbeiten konnten.
Das Log spuckt Sachen aus wie:

NOTE: FlushIpNetTable failed on interface [27] {B2E76D03-6A70-4B9F-B2F2-EC43F7AAB043} (status=5) : Zugriff verweigert

In verschiedensten anderen Foren kamen Antworten, dass man die VPN-Config um zwei weiteren Parameter erweitern sollte ("route-method exe" und "route-delay 2"),
jedoch gab es dabei keine Verbesserung.

Andere Antworten waren, dass man den VPN-Client als Administrator ausführen soll, was bei Standard-AD-Usern ohne Admin-Berechtigungen eine eher unschöne Lösung ist.
Außerdem hieß es im OpenVPN-Forum, dass es ab der OVPN-Version 2.3 gefixt wurde. Beim Nachschauen fiel jedoch auf, dass wir 2.3.8 im Einsatz haben.

Hat jemand von Euch noch eine Idee oder ähnliche Problematiken?

Viele Grüße


Marvin Krenz



This thread was automatically locked due to age.
Parents
  • 0

    Hallo,

    dieses Verhalten kenne ich bei meinen Usern auch. Beim ersten Verbinden funktioniert das Setzen der Routen noch. Wird die Verbindung allerdings getrennt und dann wieder neuaufgebaut, tritt das beschriebene Problem auf.

    Ich habe die User in die Lokale Gruppe "Netzwerkkonfigurations-Operatoren" geschoben. (Hatte ich irgendwo gelesen). Allerdings habe ich dazu noch keine Rückmeldung der User.

    Kannst Du ja auch mal probieren.

    Ulrich

  • 0 in reply to UThomas

    Hallo Ulrich,

    Danke für Deine Rückmeldung!


    Werde ich beim nächsten Auftreten des Fehlers auch einmal ausprobieren. Merkwürdigerweise hat es bei einem User - dessen Notebook ich hier hatte (gerade wegen der Geschichte) - Abhilfe geleistet, einfach den Client und den Netzwerkadapter neu zu installieren, jedoch sollte das nicht die Lösung des Problems sein.

    Viele Grüße,

     

    Marvin

Reply
  • 0 in reply to UThomas

    Hallo Ulrich,

    Danke für Deine Rückmeldung!


    Werde ich beim nächsten Auftreten des Fehlers auch einmal ausprobieren. Merkwürdigerweise hat es bei einem User - dessen Notebook ich hier hatte (gerade wegen der Geschichte) - Abhilfe geleistet, einfach den Client und den Netzwerkadapter neu zu installieren, jedoch sollte das nicht die Lösung des Problems sein.

    Viele Grüße,

     

    Marvin

Children
  • 0 in reply to Marvin Krenz

    Hallo Marvin,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    First, welcome to the UTM Community!

    You didn't say how many SSL VPN users you have.  One "gotcha" that few people realize is that you need four times as many IPs in "VPN Pool (SSL)" as you have users.  Also, mit mehr als 63, braucht man mindestens ein /23.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo Bob, 

    Vielen Dank! :)

    Gleichzeitig haben wir maximal 20 User online, daher betreiben wir die Adressverteilung nur mit einer 24-er Subnetzmaske.
    Desweiteren habe ich nun Kontakt mit einem unserer Dienstleister aufgenommen und wir werden uns das nachher auf einem User-Endgerät ansehen.

    Letztlich scheint es generell eine Berechtigungssache zu sein. Ich las in anderen Foren auch schon etwas aus der Richtung, dass der VPN-User
    Netzwerkkonfigurations-Operatur auf dem PC sein muss. Getestet haben wir es noch nicht.

    Aber eins ist sicher: Wenn wir eine Lösung haben, werde ich den Ansatz hier auf jeden Fall festhalten, falls andere User das gleiche Problem haben. :) 

    Viele Grüße

     

    Marvin

  • 0 in reply to Marvin Krenz

    Hallo!

     

    Starte den Client mal als Administrator, das hilft bei mir immer, wenn ich das Probleme. Eigentlich ist das nicht notwendig, da ein Zusatzdienst mitinstalliert wird, der das übernimmt. Allerdings muss ich die Anwendung (nutze Windows10) MANCHMAL als Administrator starten, damit die Routen gesetzt werden. Man ist zwar eingewählt, das Lämpchen ist Grün, aber die routen werden nicht gesetzt.... Ich habe die Befürchtung das liegt am TUN/TAP Treiber. Du kannst testweise auch die offizielle OpenVPN Version testen, die sind kompatibel zueinander.

     

    Gruß,

    Sebastian

  • 0 in reply to seroal

    Hallo roesch4alc,

    Vielen Dank für Deinen Hinweis!
    Wir haben gestern einiges durchgetestet und letztlich war es wirklich die - durch Administratorrechte geöffnete - Setup.exe .

    Scheinbar hat der Client damit etwas Schwierigkeiten, wenn das Programm nicht als Administrator installiert wird.
    Zumindest wurden im anschließendem Test die kompletten Routen gesetzt und alles scheint zu funktionieren. 

    Nun werde ich auf die anderen paar betroffenen User Acht geben und wenn dort die gleiche Problemlösung Abhilfe leistet, dann haben wir zumindest eine funktionierende Lösung ohne dass man die Config noch einmal anfassen muss :)

     

    Vielen Dank schon einmal Euch allen für die freundliche Aufnahme ins Forum und die konkreten Antworten!

    Bis dahin soweit,

     

    Euer Marvin

  • 0 in reply to Marvin Krenz

    Hi,

    Ich "darf" mich erneut zum gleichen Problem melden.. 

    Als wir die Setup.exe als Administrator ausgeführt haben, lief alles mehrfach ohne Probleme durch - selbst unter den Credentials des betroffenen Users.

     

    Allerdings bekam ich jetzt erneut eine Rückmeldung von ihm, dass er wieder nicht in unser Netz reinkommt. Laut Log tritt wieder der gleiche Fehler auf (Zugriff verweigert bei FlushIpNetTable, CreateIpForwardEntry (zweifach, jeweils Route-addition fail)

    Ich werde es jetzt mal versuchen, den User als Netzwerkkonfigurationsoperator lokal zu berechtigen, ob es dann funktioniert.

     

    Bei weiteren Anregungen und Ideen bitte hier drunter schreiben :)


    Gruß

     

    Euer Marvin

  • 0 in reply to Marvin Krenz

    Hallo,

     

    wiegesagt, bei mir hilft es den Client als Administrator zu starten, ich meine nicht die Installation des Clients. Ich würde mal den SSL Client beenden und danach als Admin starten. Das ist das, was mir immer hilft. Allerdings bin ich auch lokaler Admin auf meinem Rechner...

     

     

    Gruß

    Sebastian

  • 0 in reply to seroal

    Hallo roesch4alc,

     

    Bei mir funktioniert das ja auch einwandfrei, ich bin allerdings auch Domänen-Admin.. 
    Und dann den Usern, die als normale Anwender berechtigt sind, möchte ich ungern lokale Administratorrechte geben.. Man weiß ja was die dann immer für einen Unfug treiben ;)

    Wenn ich den Kollegen heute noch erreichen kann, probiere ich das nochmal mit dem Netzwerkkonfigurationsoperatoren.. wenn es das nicht sein möchte, dann führt wohl kein Weg an einem lokalen Administrator vorbei, schätze ich.


    Gruß

     

    Marvin