Dépannage des évènements

Si vous ne parvenez pas à vous connecter, cliquez sur Évènements, vérifiez le timestamp relatif à l’instant de connexion et trouvez l’erreur.

Cette section couvre les messages d’erreur, leurs causes potentielles et des instructions pour les résoudre. Si vous rencontrez un problème qui n’a pas été couvert ci-dessous, n’hésitez pas à consulter la rubrique Dépannage général.

Veuillez contacter le Support Sophos si vous avez besoin d’aide.

Aucune connexion réseau

Cause: L’adaptateur réseau (Ethernet ou Wi-Fi) n’a pas d’adresse IP.

Action à mener : Vérifiez la validité de votre adresse IP et votre connexion au réseau.

Échec de la résolution DNS

Cause: Le client ne parvient pas résoudre le nom de l’hôte de passerelle.

Action à mener : Vérifiez si un serveur DNS est attribué à l’interface réseau. Exécutez nslookup à partir de l’invite de commande (Windows) ou de l’ordinateur (Mac) pour un hôte public, par exemple www.sophos.fr et vérifiez qu’il soit résolu vers une adresse IP. En cas d’échec, contactez votre fournisseur d’accès Internet.

Ports UDP 500/4500 bloqués

Cause: Le pare-feu ou le routeur bloque les ports UDP 500 et 4500.

Action à mener : Vérifiez la configuration de votre pare-feu ou routeur et autorisez le trafic sur ces ports. Si vous n’avez pas accès au pare-feu ou au routeur (par ex. vous êtes dans un hôtel), connectez-vous via votre hotspot mobile et tentez de vous reconnecter.

Aucune réponse de la passerelle : <Passerelle FQDN ou adresse IP utilisée lors de la connexion>

Cause: La passerelle ne répond pas aux messages de négociation IKE. Causes possibles :
  • La passerelle à distance (pare-feu ou routeur) a été éteinte.
  • L’adresse WAN n’est pas connectée directement à Internet.

Action à mener : Signalez le problème à votre administrateur pare-feu pour résoudre le problème.

Notification NO_PROPOSAL_CHOSEN envoyée par la passerelle

Cause: La passerelle à distance a répondu aux négociations IKE de Sophos Connect avec cette notification d’erreur. Causes possibles :
  • La stratégie Sophos Connect n’a pas été pas définie ou activée sur le pare-feu.
  • L’administrateur pare-feu a changé les paramètres IKE de phase 1 de la stratégie Sophos Connect du pare-feu et la nouvelle configuration n’a pas été exportée et importée sur le client.

Action à mener : Signalez le problème à votre administrateur pare-feu pour résoudre le problème.

Identifiant distant attendu par le serveur : <valeur d’identifiant attendu>, identifiant reçu : <valeur d’identifiant reçu>

Cause: Le type d’identifiant local ou la valeur configurée dans la stratégie Sophos Connect dans le pare-feu ne correspond pas à la valeur utilisée pour cette connexion. Ceci peut arriver lorsque l’administrateur pare-feu change l’identifiant local dans le pare-feu et que le nouveau fichier de configuration n’a pas été importé dans Sophos Connect.

Action à mener : Signalez le problème à votre administrateur pare-feu pour résoudre le problème.

Incompatibilité de clé pré-partagée présumée <nom de la connexion>

Cause: La clé prépartagée sur le pare-feu ne correspond pas à la clé utilisée pour cette connexion. Ceci peut arriver lorsque l’administrateur pare-feu change l’ID local dans le pare-feu et que le nouveau fichier de configuration n’a pas été importé dans Sophos Connect.

Action à mener : Signalez le problème à votre administrateur pare-feu pour résoudre le problème.

L’authentification utilisateur de <nom d’utilisateur saisi> a échoué

Cause: Le nom d’utilisateur ou le mot de passe est incorrect.

Action à mener : Tentez de vous reconnecter pour vous assurer que le problème ne provient pas d’une erreur de saisie. Si vous réessayez plusieurs fois sans succès, il est possible que le mot de passe ait changé ou qu’il ait été désactivé dans le pare-feu. Dans ce cas, signalez le problème à votre administrateur pare-feu pour résoudre le problème.

L’échec d’ajout de la route [réseau/masque] a empêché de terminer la phase 2

Remarque : Les étapes de résolution ci-dessous s’appliquent uniquement à Windows.

Cause: Après l’établissement de la phase 2 SA, l’ajout de routes au réseau distant a échoué. Il est possible que le service strongSwan se soit arrêté de fonctionner pendant que le tunnel était actif.

Action à mener : Désactivez puis réactivez l’adaptateur TAP. Ouvrez l’invite de commandes en tant qu’administrateur et saisissez les commandes suivantes :

net stop scvpn

net start scvpn

Impossible d’ajouter les données de connexion. Une connexion portant le nom <nom de la connexion> existe déjà

Cause: Une connexion du même nom a déjà été importée.

Action à mener : Supprimez la connexion existante de Sophos Connect. Assurez-vous que vous souhaitez vraiment supprimer la connexion existante avant de la supprimer. Sinon, contactez votre administrateur pour résoudre le problème.

Service indisponible

Remarque : Les étapes de résolution ci-dessous s’appliquent uniquement à Windows.

Cause: Le service Sophos Connect (scvpn) a été interrompu.

Action à mener : Ouvrez l’invite de commandes en tant qu’administrateur et saisissez la commande suivante :

net start scvpn

Impossible de charger les données de connexion vers strongSwan

Remarque : Les étapes de résolution ci-dessous s’appliquent uniquement à Windows.

Cause: Le service strongSwan a été interrompu (Nom de service : charon-svc.exe).

Action à mener : Ouvrez l’invite de commandes en tant qu’administrateur et saisissez la commande suivante :

net start strongswan

SA désactivé ou supprimé par la passerelle

Cause: La passerelle a envoyé une demande de suppression IKE puis le tunnel a été supprimé. Causes possibles :

  • L’administrateur de pare-feu a changé la stratégie sur le pare-feu. Ceci entraine l’envoi d’une demande de suppression IKE à toutes les SA actives connectées au pare-feu.
  • L’administrateur pare-feu a supprimé manuellement toutes les connexions IPsec de cet utilisateur sur le pare-feu.

Action à mener : Essayez de vous reconnecter. Si cela ne fonctionne toujours pas, contactez votre administrateur pour résoudre le problème.

Résolution DNS impossible pour la passerelle : <nom de passerelle:port>

Cause: Cette erreur est due à un nom d’hôte non valide.

Action à mener :

  • Si la connexion a été ajoutée à l’aide d’un fichier d’approvisionnement, vérifiez le nom d’hôte fourni.
  • Si la connexion a été ajoutée en important un fichier ovpn, vérifiez les paramètres SSL VPN sur XG Firewall.

Impossible de vérifier le certificat du serveur : <nom de passerelle>. Souhaitez-vous continuer ?

Cause: Le client Sophos Connect importe la configuration SSL VPN en se connectant au portail utilisateur de XG Firewall à l’aide des propriétés du fichier d’approvisionnement. Le portail utilisateur utilise un certificat autosigné qui ne peut pas être vérifié par le client Sophos Connect.

Action à mener : Acceptez l’avertissement de sécurité pour vous connecter et télécharger le fichier de configuration ovpn à partir du portail utilisateur. Pour éviter que l’invite ne s’affiche à l’avenir, utilisez l’une des options suivantes :

  • Générez un nouveau certificat pour XG Firewall signé par une autorité de certification publique. Importez le certificat dans XG Firewall, puis sélectionnez-le dans les Paramètres Admin pour vous connecter à la console d’administration Web.
  • Envoyez le certificat d’autorité de certification par défaut du XG Firewall aux ordinateurs distants via l’archivage sécurisé.

Impossible de se connecter au serveur non fiable : <passerelle>

Cause: Vous avez annulé l’invite d’avertissement du certificat et la connexion a été interrompue.

Action à mener : Acceptez l’avertissement de sécurité pour vous connecter et téléchargez la stratégie SSL VPN à partir de XG Firewall. Pour empêcher l’invite de s’afficher lors du téléchargement de la stratégie SSL VPN, utilisez l’une des options suivantes :

  • Générez un nouveau certificat pour XG Firewall signé par une autorité de certification publique. Importez le certificat dans XG Firewall, puis sélectionnez-le dans les Paramètres Admin pour vous connecter à la console d’administration Web.
  • Envoyez le certificat d’autorité de certification par défaut du XG Firewall aux ordinateurs distants via l’archivage sécurisé.

Le fichier d’importation contient une double connexion : <nom de la connexion>

Cause: La connexion importée à partir d’un fichier d’approvisionnement a un nom d’affichage dupliqué.

Action à mener : Vérifiez l’attribut nom_d’affichage dans le fichier d’approvisionnement et renommez les noms dupliqués.

Impossible de se connecter à la passerelle de stratégie : <nom de la passerelle>

Cause: Le fichier d’approvisionnement n’est pas configuré correctement. Les raisons suivantes peuvent en être la cause :

  1. Nom d’hôte ou adresse IP de passerelle non valide.
  2. Port non valide ou port sortant bloqué.
  3. La passerelle de stratégie est inaccessible car elle est désactivée.

Action à mener :

Vérifiez les éléments suivants dans le fichier d’approvisionnement :

  1. Assurez-vous que la valeur affectée à la passerelle est correcte.
  2. Assurez-vous que la valeur affectée au port du portail utilisateur corresponde au paramètre du port HTTPS du portail utilisateur sur XG Firewall.
  3. Si le fichier d’approvisionnement est configuré correctement, contactez votre administrateur pour résoudre le problème.

Aucune stratégie SSL VPN n’est définie pour cet utilisateur : <nom d’utilisateur>

Cause: La stratégie SSL VPN (accès à distance) de XG Firewall ne contient aucun membre de stratégie.

Action à mener : Contactez votre administrateur.

Erreur d’incompatibilité de compression. Retente d’établir la connexion.

Cause: Une stratégie SSL VPN est téléchargée pour la première fois depuis XG Firewall et le tunnel VPN SSL est établi simultanément.

Action à mener : L’erreur est résolue en fonction de la configuration de la connexion :

  • Avec un fichier d’approvisionnement : Sophos Connect tente automatiquement de se reconnecter.
  • Avec un fichier ovpn : Se reconnecter manuellement.

Erreur d’incompatibilité de la stratégie. Télécharge la stratégie et retente la connexion.

Cause: Le client Sophos Connect a essayé d’établir une connexion SSL VPN avec une stratégie existante enregistrée pour cette connexion.

L’administrateur a modifié les paramètres SSL VPN sur XG Firewall après l’établissement et l’enregistrement d’une connexion SSL VPN par Sophos Connect.

Action à mener : La connexion a été créée à l’aide d’un fichier d’approvisionnement. Sophos Connect télécharge automatiquement la nouvelle stratégie et rétablit le tunnel SSL VPN.

Remarque : Si l’administrateur modifie la stratégie SSL VPN sur XG Firewall alors que le tunnel est connecté et qu’il s’agit d’un SSL VPN via TCP, le client Sophos Connect détecte et télécharge immédiatement la nouvelle stratégie. S’il s’agit d’un tunnel SSL VPN sur UDP, vous devez attendre que le chronomètre d’inactivité supprime le tunnel. Sophos Connect télécharge ensuite la nouvelle stratégie pour rétablir le tunnel.

Erreur d’incompatibilité de la stratégie. Importez une nouvelle stratégie pour cette connexion.

Cause: Le client Sophos Connect a essayé d’établir une connexion SSL VPN avec une stratégie existante enregistrée pour cette connexion.

L’administrateur a modifié les paramètres SSL VPN sur XG Firewall après l’établissement et l’enregistrement d’une connexion SSL VPN par Sophos Connect.

Action à mener : La connexion a été créée en important un fichier ovpn. L’utilisateur doit télécharger et importer un nouveau fichier ovpn à partir du portail utilisateur de XG Firewall pour rétablir le tunnel SSL VPN.

Remarque : Si l’administrateur modifie la stratégie SSL VPN sur XG Firewall alors que le tunnel est connecté et qu’il s’agit d’un SSL VPN sur tunnel TCP, le client Sophos Connect détecte et déconnecte le tunnel incompatible. S’il s’agit d’un tunnel SSL VPN sur UDP, attendez que le chronomètre d’inactivité supprime le tunnel. L’utilisateur doit télécharger et importer un nouveau fichier ovpn à partir du portail utilisateur de XG Firewall pour rétablir le tunnel SSL VPN.

Délai d’attente de réponse du serveur dépassé.

Cause: La stratégie SSL VPN n’est pas configurée correctement sur XG Firewall. Les causes possibles de la défaillance sont les suivantes :

  1. Le nom d’hôte de remplacement est configuré, mais il ne résout pas l’adresse IP publique correcte ou valide.
  2. DDNS est configuré, mais il ne résout pas l’adresse IP publique correcte ou valide.
  3. Les options Remplacer le nom d’hôte et DDNS ne sont pas configurées et le port WAN ne possède pas d’adresse IP publique.

Action à mener : Si vous avez importé la connexion à l’aide d’un fichier d’approvisionnement, mettez à jour le menu des paramètres de connexion de stratégie (sur le client Sophos Connect). Si vous avez utilisé un fichier ovpn pour créer la connexion, exportez un nouveau fichier ovpn à partir du portail utilisateur et réimportez-le dans le client Sophos Connect.