Risoluzione degli eventi

Se si dovessero riscontrare problemi di connessione, cliccare su Eventi, cercare la data e l'ora di un tentativo di connessione e individuare l'errore pertinente.

Questa sezione descrive i messaggi di errore e le loro potenziali cause, fornendo informazioni utili su come procedere. Se si dovessero riscontrare problemi che non sono elencati di seguito, consultare l'argomento Risoluzione generale dei problemi.

Per ulteriore assistenza, contattare il Supporto tecnico Sophos.

Nessuna connessione di rete

Causa: la scheda di rete (Ethernet o Wi-Fi) non ha alcun indirizzo IP.

Come procedere: verificare di avere un indirizzo IP valido e controllare il funzionamento della connessione di rete attuale.

Non è stato possibile risolvere il DNS

Causa: il client non è in grado di risolvere il nome host del gateway.

Come procedere: verificare che sia presente un server DNS assegnato all'interfaccia di rete. Eseguire nslookup dal prompt dei comandi (Windows) o dal Terminale (Mac) per un host pubblico, ad esempio www.sophos.com, e verificare che si risolva a un indirizzo IP. Se non dovesse risolversi, contattare il proprio ISP.

Porte UDP 500/4500 bloccate

Causa: il firewall o il router blocca le porte UDP 500 e 4500.

Come procedere: verificare la configurazione locale del firewall o del router e autorizzare il traffico su queste porte. Se non si dovesse avere accesso al firewall o al router, ad esempio nel caso in cui ci si trovi in un hotel, connettersi con l'hotspot mobile e ritentare.

Nessuna risposta dal gateway: <FQDN o IP del gateway specificato nella connessione>

Causa: il gateway non risponde ai messaggi di negoziazione IKE. I motivi potrebbero essere:
  • Il gateway remoto (firewall o router) è stato arrestato.
  • L'indirizzo WAN del gateway remoto non è connesso direttamente a internet.

Come procedere: contattare il proprio amministratore del firewall e segnalare il problema per ulteriori attività di risoluzione.

Ricevuta notifica NO_PROPOSAL_CHOSEN dal gateway

Causa: il gateway remoto ha risposto alle negoziazioni IKE provenienti da Sophos Connect restituendo questa notifica di errore. I motivi potrebbero essere:
  • Il criterio di Sophos Connect non è definito o attivato nel firewall.
  • L'amministratore del firewall ha modificato le proposte IKE di Fase 1 utilizzate per il criterio di Sophos Connect nel firewall e la nuova configurazione non è stata esportata e caricata sul client.

Come procedere: contattare il proprio amministratore del firewall e segnalare il problema per ulteriori attività di risoluzione.

Il server aveva previsto l'ID remoto <valore ID previsto>, ma ha ricevuto <valore ID effettivo>

Causa: il tipo di ID locale o il valore configurato nel criterio di Sophos Connect nel firewall è diverso dal valore utilizzato per questa connessione. Questo potrebbe essere perché l'amministratore del firewall ha modificato l'ID locale nel firewall e il nuovo file di configurazione non è stato importato in Sophos Connect.

Come procedere: contattare il proprio amministratore del firewall e segnalare il problema per ulteriori attività di risoluzione.

Possibile mancata corrispondenza della chiave precondivisa <nome connessione>

Causa: la chiave precondivisa nel firewall non corrisponde alla chiave utilizzata per questa connessione. Questo potrebbe essere perché l'amministratore del firewall l'ha modificata nel firewall e il nuovo file di configurazione non è stato caricato in Sophos Connect.

Come procedere: contattare il proprio amministratore del firewall e segnalare il problema per ulteriori attività di risoluzione.

Autenticazione utente di <nome utente immesso> non riuscita

Causa: il nome utente o la password non hanno trovato corrispondenza.

Come procedere: ritentare, per verificare se ciò sia dovuto a un errore dell'utente durante l'immissione. Se dopo tentativi ripetuti viene visualizzato lo stesso errore, è possibile che la password sia stata modificata o disattivata nel firewall. In tale eventualità, contattare il proprio amministratore del firewall e segnalare il problema per ulteriori attività di risoluzione.

L'errore nell'aggiunta della route [rete/maschera] ha impedito il completamento della Fase 2

Nota: La procedura di risoluzione dei problemi indicata di seguito è valida solo per Windows.

Causa: una volta stabilita la SA (Security Association) di Fase 2, non è stato possibile eseguire route add sulla rete remota. Questo potrebbe essere perché il servizio strongSwan ha subito arresto anomalo mentre il tunnel era attivo.

Come procedere: disattivare e abilitare l'adattatore TAP. Aprire il prompt dei comandi con privilegi di amministratore e digitare i seguenti comandi:

net stop scvpn

net start scvpn

Non è stato possibile aggiungere i dati di connessione. Esiste già una connessione denominata <nome connessione>

Causa: è già stata importata una connessione con lo stesso nome.

Come procedere: eliminare la connessione esistente da Sophos Connect. Assicurarsi di voler veramente eliminare la connessione esistente prima di eliminarla. In caso contrario, contattare l'amministratore per ulteriori attività di risoluzione.

Il servizio non è disponibile

Nota: La procedura di risoluzione dei problemi indicata di seguito è valida solo per Windows.

Causa: il servizio Sophos Connect (scvpn) non è in esecuzione.

Come procedere: aprire il prompt dei comandi con privilegi di amministratore e digitare il seguente comando:

net start scvpn

Non è stato possibile caricare informazioni relative alla connessione su strongSwan

Nota: La procedura di risoluzione dei problemi indicata di seguito è valida solo per Windows.

Causa: il servizio strongSwan non è in esecuzione (nome servizio: charon-svc.exe).

Come procedere: aprire il prompt dei comandi con privilegi di amministratore e digitare il seguente comando:

net start strongswan

SA disattivata o eliminata dal gateway

Causa: il gateway ha inviato una richiesta di eliminazione dell'IKE e il tunnel è stato eliminato. I motivi potrebbero essere:

  • L'amministratore del firewall ha modificato il criterio nel firewall. Questa operazione invia una richiesta di eliminazione dell'IKE a tutte le SA (Security Association) nel firewall.
  • L'amministratore del firewall ha eliminato manualmente tutte le connessioni IPsec per questo utente nel firewall.

Come procedere: ritentare la connessione. Se questa situazione dovesse persistere, contattare l'amministratore per ulteriori attività di risoluzione.

Non è stato possibile risolvere il DNS per il gateway: <nome gateway:porta>

Causa: questo errore è dovuto a un nome host non valido.

Come procedere:

  • se la connessione è stata aggiunta utilizzando un file di provisioning, verificare il nome host fornito.
  • Se la connessione è stata aggiunta importando un file ovpn, controllare le impostazioni della VPN SSL in XG Firewall.

Impossibile verificare il certificato del server: <nome del gateway>. Continuare?

Causa: Sophos Connect Client importa la configurazione della VPN SSL connettendosi al portale utenti di XG Firewall utilizzando le proprietà nel file di provisioning. Il portale utenti utilizza un certificato autofirmato che non può essere verificato da Sophos Connect Client.

Come procedere: accettare l'avviso di sicurezza per la connessione e scaricare il file di configurazione ovpn dal portale utenti. Per evitare che il prompt venga visualizzato in futuro, utilizzare una delle seguenti opzioni:

  • Emettere un nuovo certificato per XG Firewall, firmato da una CA pubblica. In XG Firewall, importare il certificato e selezionarlo nelle Impostazioni di amministrazione per l'accesso alla console Web Admin.
  • Inviare tramite push il certificato CA predefinito da XG Firewall all'archivio dati attendibile dei computer remoti.

Non è stato possibile connettersi al server non attendibile: <gateway>

Causa: il prompt dell'avviso del certificato è stato annullato e la connessione è stata interrotta.

Come procedere: accettare l'avviso di sicurezza per la connessione e scaricare il criterio VPN SSL da XG Firewall. Per evitare che il prompt venga visualizzato in futuro quando viene scaricato il criterio VPN SSL, utilizzare una delle seguenti opzioni:

  • Emettere un nuovo certificato per XG Firewall, firmato da una CA pubblica. In XG Firewall, importare il certificato e selezionarlo nelle Impostazioni di amministrazione per l'accesso alla console Web Admin.
  • Inviare tramite push il certificato CA predefinito da XG Firewall all'archivio dati attendibile dei computer remoti.

Il file di importazione contiene una connessione duplicata: <nome connessione>

Causa: la connessione importata da un file di provisioning ha un nome visualizzato duplicato.

Come procedere: Controllare l'attributo display_name nel file di provisioning e rinominare eventuali nomi duplicati.

Impossibile stabilire la connessione al gateway dei criteri: <nome del gateway>

Causa: Il file di provisioning non è configurato correttamente. Possibili cause:

  1. Nome host o indirizzo IP del gateway non valido.
  2. Porta non valida o porta in uscita bloccata.
  3. Il gateway dei criteri non è raggiungibile perché è disattivato.

Come procedere:

controllare il file di provisioning per verificare quanto segue:

  1. Assicurarsi che il valore assegnato all'attributo gateway sia corretto.
  2. Assicurarsi che il valore assegnato all'attributo user_portal_port corrisponda all'impostazione della porta HTTPS del portale utenti in XG Firewall.
  3. Se il file di provisioning è configurato correttamente, contattare l'amministratore per ulteriori attività di risoluzione.

Nessun criterio VPN SSL definito per questo utente: <nome utente>

Causa: il criterio VPN SSL (accesso remoto) in XG Firewall non contiene alcun membro del criterio.

Come procedere: contattare l'amministratore.

Errore di compressione non corrispondente. Verrà effettuato un nuovo tentativo di connessione.

Causa: un criterio VPN SSL viene scaricato per la prima volta da XG Firewall e il tunnel VPN SSL viene stabilito con esso.

Come procedere: l'errore viene risolto in base alla configurazione della connessione:

  • Con un file di provisioning: Sophos Connect effettua automaticamente un nuovo tentativo di connessione.
  • Con un file ovpn: occorre riconnettersi manualmente.

Errore di criterio non corrispondente. Il criterio verrà scaricato e sarà effettuato un nuovo tentativo di connessione.

Causa: Sophos Connect Client ha effettuato il tentativo di stabilire una connessione VPN SSL con un criterio esistente salvato per questa connessione.

L'amministratore ha modificato le impostazioni VPN SSL in XG Firewall dopo che una connessione VPN SSL è stata stabilita e salvata da Sophos Connect.

Come procedere: la connessione è stata creata utilizzando un file di provisioning. Sophos Connect scaricherà automaticamente il nuovo criterio e ristabilirà il tunnel VPN SSL.

Nota: Se l'amministratore modifica il criterio VPN SSL in XG Firewall mentre il tunnel si trova in stato connesso e si tratta di una VPN SSL su TCP, Sophos Connect Client rileverà e scaricherà immediatamente il nuovo criterio. Se si tratta di un tunnel VPN SSL su UDP, è necessario attendere che il timer di inattività elimini il tunnel. Sophos Connect scaricherà quindi il nuovo criterio per ristabilire il tunnel.

Errore di criterio non corrispondente. Importa un nuovo criterio per questa connessione.

Causa: Sophos Connect Client ha effettuato il tentativo di stabilire una connessione VPN SSL con un criterio esistente salvato per questa connessione.

L'amministratore ha modificato le impostazioni VPN SSL in XG Firewall dopo che una connessione VPN SSL è stata stabilita e salvata da Sophos Connect.

Come procedere: la connessione è stata creata importando un file ovpn. L'utente deve scaricare e importare un nuovo file ovpn dal portale utenti di XG Firewall per ristabilire il tunnel VPN SSL.

Nota: Se l'amministratore modifica il criterio VPN SSL in XG Firewall mentre il tunnel si trova in stato connesso e si tratta di una VPN SSL su tunnel TCP, Sophos Connect Client rileverà e disconnetterà immediatamente il tunnel, restituendo un errore. Se si tratta di un tunnel VPN SSL su UDP, è necessario attendere che il timer di inattività elimini il tunnel. L'utente deve scaricare e importare un nuovo file ovpn dal portale utenti di XG Firewall per ristabilire correttamente il tunnel VPN SSL.

Si è verificato un timeout durante l'attesa della risposta del server.

Causa: il criterio VPN SSL non è configurato correttamente in XG Firewall. Le possibili cause del problema sono le seguenti:

  1. È configurato Override hostname (override del nome host), ma non si risolve all'indirizzo IP pubblico corretto o valido.
  2. È configurato il DDNS, ma non si risolve all'indirizzo IP pubblico corretto o valido.
  3. Sia Override hostname che il DDNS non sono configurati e la porta WAN non dispone di un indirizzo IP pubblico.

Come procedere: se è stato utilizzato un file di provisioning per importare la connessione, aggiornare il menu delle impostazioni di connessione dei criteri (su Sophos Connect Client). Se è stato utilizzato un file ovpn per creare la connessione, esportare un nuovo file ovpn dal portale utenti e reimportarlo in Sophos Connect Client.