Behebung von Ereignissen

Wenn Sie Probleme beim Herstellen der Verbindung haben, klicken Sie auf Ereignisse, suchen nach dem Zeitstempel des Verbindungsversuchs und dann nach dem betreffenden Fehler.

In diesem Abschnitt werden die Fehlermeldungen, mögliche Fehlerursachen und Maßnahmen beschrieben. Wenn bei Ihnen ein Problem aufgetreten ist, das unten nicht beschrieben ist, lesen Sie unter Allgemeine Fehlerbehebung nach.

Wenn Sie weitergehende Hilfe benötigen, kontaktieren Sie den Sophos Support.

Keine Netzwerkverbindung

Ursache: Der Netzwerkadapter (Ethernet oder WLAN) hat keine IP-Adresse.

Maßnahme: Stellen Sie sicher, dass Sie eine gültige IP-Adresse haben und dass Ihre vorhandene Netzwerkverbindung funktioniert.

DNS-Auflösung fehlgeschlagen

Ursache: Der Client kann den Hostnamen des Gateways nicht auflösen.

Maßnahme: Überprüfen Sie, ob der Netzwerkschnittstelle ein DNS-Server zugewiesen ist. Führen Sie nslookup über die Eingabeaufforderung (Windows) oder über das Terminal (Mac) für einen öffentlichen Host aus, z. B. www.sophos.com, und überprüfen Sie, ob eine Auflösung in eine IP-Adresse erfolgt. Falls nicht, wenden Sie sich an Ihren Internetprovider.

UDP-Ports 500/4500 blockiert

Ursache: Die Firewall oder der Router blockiert die UDP-Ports 500 und 4500.

Maßnahme: Überprüfen Sie die Konfiguration Ihrer lokalen Firewall oder Ihres Routers und erlauben Sie Datenverkehr an diesen Ports. Wenn Sie keinen Zugriff auf die Firewall oder den Router haben, z. B. wenn Sie sich in einem Hotel aufhalten, verbinden Sie sich über Ihren mobilen Hotspot und versuchen erneut, eine Verbindung herzustellen.

Keine Antwort von Gateway: <gateway FQDN or IP specified in connection>

Ursache: Das Gateway antwortet nicht auf IKE-Aushandlungsmeldungen. Dies kann daran liegen, dass:
  • Das Remote-Gateway (Firewall oder Router) heruntergefahren wurde.
  • Die WAN-Adresse am Remote-Gateway nicht direkt mit dem Internet verbunden ist.

Maßnahme: Kontaktieren Sie Ihren Firewall-Administrator und melden Sie das Problem.

Meldung NO_PROPOSAL_CHOSEN erhalten von Gateway

Ursache: Das Remote-Gateway hat auf IKE-Aushandlungen von Sophos Connect mit dieser Fehlermeldung geantwortet. Dies kann daran liegen, dass:
  • Keine Sophos Connect-Richtlinie auf der Firewall eingerichtet wurde oder aktiviert ist.
  • Der Firewall-Administrator die IKE-Proposals der Phase 1, die für die Sophos Connect-Richtlinie auf der Firewall verwendet werden, geändert hat und die neue Konfiguration nicht exportiert und zum Client übertragen wurde.

Maßnahme: Kontaktieren Sie Ihren Firewall-Administrator und melden Sie das Problem.

Server erwartete Remote-ID <erwarteter ID-Wert>, erhielt aber <tatsächlicher ID-Wert>

Ursache: Der Typ oder Wert der lokalen ID, wie er in der Sophos Connect-Richtlinie auf der Firewall konfiguriert ist, ist ein anderer als der für diese Verbindung verwendete Wert. Das kann daran liegen, dass der Firewall-Administrator die lokale ID auf der Firewall geändert hat und die neue Konfigurationsdatei nicht in Sophos Connect importiert wurde.

Maßnahme: Kontaktieren Sie Ihren Firewall-Administrator und melden Sie das Problem.

Möglicherweise stimmt der Pre-Shared Key nicht mit <Verbindungsname> überein

Ursache: Der Pre-Shared Key auf der Firewall stimmt nicht mit dem für diese Verbindung verwendeten PSK überein. Das kann daran liegen, dass der Firewall-Administrator den PSK auf der Firewall geändert hat und die neue Konfigurationsdatei nicht zu Sophos Connect übertragen wurde.

Maßnahme: Kontaktieren Sie Ihren Firewall-Administrator und melden Sie das Problem.

Benutzerauthentifizierung von <eingegebener Benutzername> fehlgeschlagen

Ursache: Benutzername oder Kennwort ist nicht korrekt.

Maßnahme: Versuchen Sie es erneut – möglicherweise lag ein Eingabefehler vor. Wenn Sie es mehrere Male versucht haben und immer wieder dieselbe Fehlermeldung erhalten, hat sich möglicherweise auf der Firewall das Kennwort geändert oder es wurde deaktiviert. Wenden Sie sich in diesem Fall an Ihren Firewall-Administrator und melden Sie das Problem.

Route [Netzwerk/Maske] konnte nicht hinzugefügt werden, daher konnte Phase 2 nicht abgeschlossen werden

Hinweis: Die unten beschriebenen Schritte zur Fehlerbehebung gelten nur für Windows.

Ursache: Nachdem eine SA der Phase 2 angelegt wurde, ist route add zum Remote-Netzwerk fehlgeschlagen. Das kann daran liegen, dass der strongSwan-Dienst abgestürzt ist, während der Tunnel aktiv war.

Maßnahme: Deaktivieren Sie den TAP-Adapter und aktivieren ihn erneut. Öffnen Sie die Befehlszeile als Administrator und geben Sie die folgenden Befehle ein:

net stop scvpn

net start scvpn

Die Verbindungsdaten konnten nicht hinzugefügt werden. Eine Verbindung mit dem Namen <Verbindungsname> ist bereits vorhanden.

Ursache: Es wurde bereits eine Verbindung mit diesem Namen importiert.

Maßnahme: Löschen Sie die vorhandene Verbindung aus Sophos Connect. Stellen Sie vorher sicher, dass Sie die vorhandene Verbindung wirklich löschen möchten. Wenden Sie sich andernfalls an Ihren Administrator, um die Fehlerbehebung weiter durchzuführen.

Dienst ist nicht verfügbar

Hinweis: Die unten beschriebenen Schritte zur Fehlerbehebung gelten nur für Windows.

Ursache: Der Sophos Connect-Dienst (scvpn) wird nicht ausgeführt.

Maßnahme: Öffnen Sie die Befehlszeile als Administrator und geben Sie den folgenden Befehl ein:

net start scvpn

Verbindungsinformationen konnten nicht in strongSwan geladen werden

Hinweis: Die unten beschriebenen Schritte zur Fehlerbehebung gelten nur für Windows.

Ursache: Der strongSwan-Dienst wird nicht ausgeführt (Dienstname: charon-svc.exe).

Maßnahme: Öffnen Sie die Befehlszeile als Administrator und geben Sie den folgenden Befehl ein:

net start strongswan

SA durch Gateway deaktiviert oder gelöscht

Ursache: Das Gateway hat eine IKE-Löschanfrage gesendet, dann wurde der Tunnel gelöscht. Dies kann daran liegen, dass:

  • Der Firewall-Administrator die Richtlinie auf der Firewall geändert hat. Dadurch wird eine IKE-Löschanfrage an alle aktiven SAs auf der Firewall gesendet.
  • Der Firewall-Administrator manuell alle IPsec-Verbindungen für diesen Benutzer auf der Firewall gelöscht hat.

Maßnahme: Versuchen Sie, erneut eine Verbindung herzustellen. Wenn es immer noch nicht funktioniert, wenden Sie sich für die weitere Problembehebung an Ihren Administrator.

DNS-Auflösung fehlgeschlagen für Gateway: <Gateway-Name:Port>

Ursache: Dieser Fehler ist auf einen ungültigen Hostnamen zurückzuführen.

Maßnahme:

  • Wenn die Verbindung mithilfe einer Bereitstellungsdatei hinzugefügt wurde, überprüfen Sie den angegebenen Hostnamen.
  • Wenn die Verbindung durch Importieren einer ovpn-Datei hinzugefügt wurde, überprüfen Sie die SSL VPN-Einstellungen auf der XG Firewall.

Serverzertifikat kann nicht verifiziert werden: <Gateway-Name>. Möchten Sie fortfahren?

Ursache: Der Sophos Connect-Client importiert die SSL VPN-Konfiguration, indem er über die Eigenschaften in der Bereitstellungsdatei eine Verbindung zum Benutzerportal der XG Firewall herstellt. Das Benutzerportal verwendet ein selbstsigniertes Zertifikat, das vom Sophos Connect-Client nicht verifiziert werden kann.

Maßnahme: Akzeptieren Sie die Sicherheitswarnung, um eine Verbindung herzustellen und die ovpn-Konfigurationsdatei vom Benutzerportal herunterzuladen. Damit die Aufforderung in Zukunft nicht mehr angezeigt wird, verwenden Sie eine der folgenden Optionen:

  • Stellen Sie ein neues, von einer öffentlichen Zertifizierungsstelle signiertes Zertifikat für die XG Firewall aus. Importieren Sie auf der XG Firewall das Zertifikat und wählen Sie dann das Zertifikat in den Admin-Einstellungen für die Anmeldung bei der Web-Admin-Konsole aus.
  • Verschieben Sie das Standard-CA-Zertifikat von der XG Firewall in den vertrauenswürdigen Speicher auf den Remote-Computern.

Verbindung zum nicht vertrauenswürdigen Server: <gateway>

Ursache: Sie haben die Zertifikatwarnung abgebrochen und die Verbindung wurde beendet.

Maßnahme: Akzeptieren Sie die Sicherheitswarnung, um eine Verbindung herzustellen und die SSL VPN-Richtlinie von der XG Firewall herunterzuladen. Damit die Aufforderung nicht mehr angezeigt wird, wenn die SSL VPN-Richtlinie heruntergeladen wird, verwenden Sie eine der folgenden Optionen:

  • Stellen Sie ein neues, von einer öffentlichen Zertifizierungsstelle signiertes Zertifikat für die XG Firewall aus. Importieren Sie auf der XG Firewall das Zertifikat und wählen Sie dann das Zertifikat in den Admin-Einstellungen für die Anmeldung bei der Web-Admin-Konsole aus.
  • Übertragen Sie das Standard-CA-Zertifikat von der XG Firewall in den vertrauenswürdigen Speicher auf den Remote-Computern.

Importdatei enthält eine doppelte Verbindung: <Verbindungsname>

Ursache: Die aus einer Bereitstellungsdatei importierte Verbindung hat einen doppelten Anzeigenamen.

Maßnahme: Überprüfen Sie das Attribut display_name in der Bereitstellungsdatei und benennen Sie alle doppelten Namen um.

Verbindung mit Richtlinien-Gateway nicht möglich: <Gateway-Name>

Ursache: Die Bereitstellungsdatei ist falsch konfiguriert. Dies könnte die folgenden Gründe haben:

  1. Ungültiger Gateway-Hostname oder ungültige IP-Adresse.
  2. Ungültiger Port oder blockierter Port für ausgehenden Datenverkehr.
  3. Das Richtlinien-Gateway ist nicht erreichbar, da es deaktiviert ist.

Maßnahme:

Überprüfen Sie die Bereitstellungsdatei auf Folgendes:

  1. Stellen Sie sicher, dass der dem Attribut gateway zugewiesene Wert korrekt ist.
  2. Stellen Sie sicher, dass der dem Attribut user_portal_port zugewiesene Wert mit der HTTPS-Porteinstellung des Benutzerportals auf der XG Firewall übereinstimmt.
  3. Wenn die Bereitstellungsdatei korrekt konfiguriert ist, wenden Sie sich für die weitere Problembehebung an Ihren Administrator.

Für diesen Benutzer ist keine SSL VPN-Richtlinie definiert: <Benutzername>

Ursache: Die SSL VPN-Richtlinie (Remotezugriff) der XG Firewall enthält keine Richtlinienmitglieder.

Maßnahme: Wenden Sie sich an Ihren Administrator.

Komprimierungsfehler (fehlende Übereinstimmung). Versucht erneut, die Verbindung herzustellen.

Ursache: Eine SSL VPN-Richtlinie wird zum ersten Mal von der XG Firewall heruntergeladen und mit ihr der SSL VPN-Tunnel eingerichtet.

Maßnahme: Die Fehlerbehebung erfolgt anhand dessen, wie die Verbindung konfiguriert ist:

  • Mit einer Bereitstellungsdatei: Sophos Connect versucht automatisch erneut, eine Verbindung herzustellen.
  • Mit einer ovpn-Datei: Manuelle erneute Verbindung.

Richtlinienfehler (fehlende Übereinstimmung). Lädt die Richtlinie herunter und versucht erneut, die Verbindung herzustellen.

Ursache: Der Sophos Connect-Client hat versucht, eine SSL VPN-Verbindung mit einer vorhandenen Richtlinie herzustellen, die er für diese Verbindung gespeichert hat.

Der Administrator hat die SSL VPN-Einstellungen auf der XG Firewall geändert, nachdem eine SSL VPN-Verbindung hergestellt und von Sophos Connect gespeichert wurde.

Maßnahme: Die Verbindung wurde mithilfe einer Bereitstellungsdatei erstellt. Sophos Connect lädt die neue Richtlinie automatisch herunter und stellt den SSL VPN-Tunnel wieder her.

Hinweis: Wenn der Administrator die SSL VPN-Richtlinie auf der XG Firewall ändert, während der Tunnel verbunden ist, und es sich um einen SSL VPN über TCP-Tunnel handelt, erkennt der Sophos Connect Client die neue Richtlinie und lädt sie sofort herunter. Wenn es sich um einen SSL VPN über UDP-Tunnel handelt, müssen Sie warten, bis der Inaktivitäts-Timer den Tunnel löscht. Sophos Connect lädt dann die neue Richtlinie herunter, um den Tunnel wiederherzustellen.

Fehler wegen Richtlinienabweichung. Importieren Sie eine neue Richtlinie für diese Verbindung.

Ursache: Der Sophos Connect-Client hat versucht, eine SSL VPN-Verbindung mit einer vorhandenen Richtlinie herzustellen, die er für diese Verbindung gespeichert hat.

Der Administrator hat die SSL VPN-Einstellungen auf der XG Firewall geändert, nachdem eine SSL VPN-Verbindung hergestellt und von Sophos Connect gespeichert wurde.

Maßnahme: Die Verbindung wurde durch den Import einer ovpn-Datei hergestellt. Der Benutzer muss eine neue ovpn-Datei aus dem XG Firewall-Benutzerportal herunterladen und importieren, um den SSL VPN-Tunnel wiederherzustellen.

Hinweis: Wenn der Administrator die SSL VPN-Richtlinie auf der XG Firewall ändert, während der Tunnel verbunden ist, und es sich um einen SSL VPN über TCP-Tunnel handelt, erkennt der Sophos Connect Client den Tunnel und trennt ihn mit einem Fehler. Wenn es sich um einen SSL VPN über UDP-Tunnel handelt, müssen Sie warten, bis der Inaktivitäts-Timer den Tunnel löscht. Der Benutzer muss eine neue ovpn-Datei aus dem XG Firewall-Benutzerportal herunterladen und importieren, um den SSL VPN-Tunnel erfolgreich wiederherzustellen.

Zeitüberschreitung beim Warten auf Serverantwort.

Ursache: Die SSL VPN-Richtlinie ist in der XG Firewall falsch konfiguriert. Mögliche Gründe für den Fehler sind:

  1. „Hostname überschreiben“ ist konfiguriert, es erfolgt aber keine Auflösung in die richtige oder gültige öffentliche IP-Adresse.
  2. DDNS ist konfiguriert, es erfolgt aber keine Auflösung in die richtige oder gültige öffentliche IP-Adresse.
  3. Sowohl Hostname überschreiben als auch DDNS sind nicht konfiguriert und der WAN-Port verfügt nicht über eine öffentliche IP-Adresse.

Maßnahme: Wenn Sie zum Importieren der Verbindung eine Bereitstellungsdatei verwendet haben, aktualisieren Sie das Menü für die Verbindungseinstellungen der Richtlinie (auf dem Sophos Connect-Client). Wenn Sie zum Erstellen der Verbindung eine ovpn-Datei verwendet haben, exportieren Sie eine neue ovpn-Datei aus dem Benutzerportal und importieren Sie sie erneut in den Sophos Connect-Client.