故障排除事件

如果您有联接问题,点选 事件、查看您尝试联接的时间戳,然后寻找相关错误。

在此区段中,您会看见错误讯息、错误的可能原因,以及后续处理方式的信息。如果您遇到任何下面未列出的问题,请查看一般故障排除主题。

如果您需要进一步的帮助,请联系 Sophos Support

没有网络连接

原因:网络适配器 (以太网或 Wi-Fi) 没有 IP 地址。

如何处理:确认您的 IP 地址有效,且现有网络联接可以运作。

DNS 解析失败

原因:客户端无法解析网关主机名。

如何处理:确认是否为 DNS 服务器指派网络接口。从公共主机 (如 www.sophos.com) 的命令提示符 (Windows) 或终端 (Mac) 运行 nslookup,验证它是否解析为 IP 地址。如果它不解析,请联系您的 ISP。

UDP 端口 500/4500 被阻止

原因:防火墙或路由器正阻止 UDP 端口 500 和 4500。

如何处理:检查本地防火墙或路由器配置,并允许这些端口的数据流。如果您没有防火墙或路由器的访问权限,例如在酒店,请通过您的移动热点连接,并再次尝试连接。

此网关无回应:<联接中指定的网关 FQDN 或 IP>

原因:网关未响应 IKE 交涉讯息。可能是因为:
  • 远程网关 (防火墙或路由器) 已关闭。
  • 远程网关的 WAN 地址并非直接连接至因特网。

如何处理:联系您的防火墙管理员并报告问题,以便进一步排除故障。

已收到此网关的 NO_PROPOSAL_CHOSEN 通知

原因:远程网关以此错误通知响应来自 Sophos Connect 的 IKE 交涉。可能是因为:
  • 防火墙上未定义或未激活 Sophos Connect 策略。
  • 防火墙管理员修改了防火墙上用于 Sophos Connect 策略的 IKE 第 1 阶段方案,且新配置未导出并上传到客户端。

如何处理:联系您的防火墙管理员并报告问题,以便进一步排除故障。

服务器需要的是远程 ID <预期 ID 值>,但获得的是 <实际 ID 值>

原因:防火墙上的 Sophos Connect 策略中配置的本地 ID 类型或值与用于本连接的值不同。可能是因为防火墙管理员修改了防火墙上的本地 ID,且新配置文件未导入 Sophos Connect。

如何处理:联系您的防火墙管理员并报告问题,以便进一步排除故障。

可能预共享密钥与 <连接名称> 不匹配

原因:防火墙上的预共享密钥与用于此连接的密钥不匹配。可能是因为防火墙管理员修改了防火墙上的设置,且新配置文件未上传到 Sophos Connect。

如何处理:联系您的防火墙管理员并报告问题,以便进一步排除故障。

<输入的用户名> 的用户身份验证失败

原因:用户名称与密码不符。

如何处理:重试并查看是否是由于输入过程中的用户错误所致。如果您重试多次都出现相同的错误,则可能是因为防火墙上的密码已修改或禁用。这种情况下,请联系您的防火墙管理员并报告问题,以便进一步排除故障。

添加路由 [网络/掩码] 失败,导致第 2 阶段操作无法完成

注: 下方的故障排除步骤仅适用于 Windows。

原因:第 2 阶段 SA 建立后,route add 到远程网络失败。这可能是因为 strongSwan 服务在隧道处于活动状态时崩溃。

如何处理:禁用并启用 TAP 适配器。以管理员身份打开命令提示符,输入以下命令:

net stop scvpn

net start scvpn

连接数据无法添加。已有名称为 <连接名称> 的连接

原因:已经导入具有相同名称的连接。

如何处理:从 Sophos Connect 删除现有连接。确定真的要删除现有连接,然后再删除。否则,请联系您的管理员,以便进一步排除故障。

服务不可用

注: 下方的故障排除步骤仅适用于 Windows。

原因:Sophos Connect 服务 (scvpn) 未执行。

如何处理:以管理员身分开启命令提示字符,输入下列命令:

net start scvpn

将连接信息加载到 strongSwan 失败

注: 下方的故障排除步骤仅适用于 Windows。

原因:strongSwan 服务(服务名称:charon-svc.exe)。

如何处理:以管理员身分开启命令提示字符,输入下列命令:

net start strongswan

SA 被网关禁用或删除

原因:网关传送 IKE 删除要求,然后删除隧道。可能是因为:

  • 防火墙管理员修改了防火墙上的策略。这将发送 IKE 删除请求给防火墙上所有活动的 SA。
  • 防火墙管理员手动删除了防火墙上此用户的所有 IPsec 连接。

如何处理:再次尝试重新联接。如果仍然不能正常工作,请联系您的管理员以进一步进行故障排除。

此网关 DNS 解析失败:<网关名称:端口>

原因:此错误是由于无效的主机名造成的。

如何处理

  • 如果连接是使用配置文件添加的,请验证提供的主机名。
  • 如果连接是通过导入 ovpn 文件添加的,请检查 XG Firewall 上的 SSL VPN 设置。

服务器证书无法验证:<网关名称>。确定要继续吗?

原因:Sophos Connect 客户端通过使用配置文件中的属性连接到 XG Firewall 用户门户导入 SSL VPN 配置。用户门户使用 Sophos Connect 客户端无法验证的自签名证书。

如何处理:接受安全警告,连接并从用户门户下载 ovpn 配置文件。要防止以后显示提示,请使用以下其中一个选项:

  • 为 XG Firewall 颁发公共 CA 签署的新证书。在 XG Firewall 上,导入证书,然后在管理设置中选择该证书用于登录 Web 管理控制台。
  • 将默认 CA 证书从 XG Firewall 推送到远程计算机上的受信任存储。

无法连接到不受信任的服务器:<网关>

原因:您取消了证书警告提示,并且连接已终止。

如何处理:接受安全警告,连接并从 XG Firewall 下载 SSL VPN 策略。要防止下载 SSL VPN 策略时显示提示,请使用以下其中一个选项:

  • 为 XG Firewall 颁发公共 CA 签署的新证书。在 XG Firewall 上,导入证书,然后在管理设置中选择该证书用于登录 Web 管理控制台。
  • 将默认 CA 证书从 XG Firewall 推送到远程计算机上的受信任存储。

导入文件包含重复连接:<连接名称>

原因:从配置文件导入的连接有重复的显示名称。

如何处理:检查配置文件中的 display_name 属性,并重命名所有重复的名称。

无法连接到策略网关:<网关名称>

原因:配置文件配置不正确。这可能是由于以下任意原因造成的:

  1. 网关主机名或 IP 地址无效。
  2. 端口或传出阻止端口无效。
  3. 策略网关无法访问,因为它已关闭。

如何处理

检查配置文件:

  1. 确保分配给 gateway 属性的值是正确的。
  2. 确保分配给 user_portal_port 属性的值与 XG Firewall 上的用户门户 HTTPS 端口设置相匹配。
  3. 如果配置文件配置正确,请联系管理员以进一步进行故障排除。

没有为此用户定义 SSL VPN 策略:<用户名>

原因:XG Firewall 上的 SSL VPN (远程访问) 策略不包含任何策略成员。

如何处理:联系您的管理员。

压缩不匹配错误。将重新尝试连接。

原因:SSL VPN 策略是首次从 XG Firewall 下载的,且 SSL VPN 隧道是使用它建立的。

如何处理:根据连接的配置方式纠正错误:

  • 使用配置文件:Sophos Connect 自动尝试再次连接。
  • 使用 ovpn 文件:手动重新连接。

策略不匹配错误。将下载策略并重新尝试连接。

原因:Sophos Connect 客户端试图使用为此连接保存的现有策略建立 SSL VPN 连接。

Sophos Connect 建立并保存 SSL VPN 连接后,管理员修改了 XG Firewall 上的 SSL VPN 设置。

如何处理:连接是使用配置文件创建的。Sophos Connect 将自动下载新策略,并重新建立 SSL VPN 隧道。

注: 如果管理员修改 XG Firewall 上的 SSL VPN 策略时隧道处于连接状态,并且它是 SSL VPN over TCP 隧道,Sophos Connect Client 将立即检测并下载新策略。如果它是 SSL VPN over UDP 隧道,您需要等待非活动计时器删除隧道。然后 Sophos Connect 将下载新策略并重新建立隧道。

策略不匹配错误。请为此连接导入新策略。

原因:Sophos Connect 客户端试图使用为此连接保存的现有策略建立 SSL VPN 连接。

Sophos Connect 建立并保存 SSL VPN 连接后,管理员修改了 XG Firewall 上的 SSL VPN 设置。

如何处理:连接是通过导入 ovpn 文件创建的。用户必须从 XG Firewall 用户门户下载并导入新的 ovpn 文件并重新建立 SSL VPN 隧道。

注: 如果管理员修改 XG Firewall 上的 SSL VPN 策略时隧道处于连接状态,并且它是 SSL VPN over TCP 隧道,Sophos Connect Client 将检测并断开有错误的隧道。如果它是 SSL VPN over UDP 隧道,则必须等待非活动计时器删除隧道。用户必须从 XG Firewall 用户门户下载并导入新的 ovpn 文件并重新成功建立 SSL VPN 隧道。

等待服务器响应时出现超时。

原因:XG Firewall 上的 SSL VPN 策略配置不正确。失败的可能原因如下:

  1. 已配置覆盖主机名,但它不能解析为正确或有效的公共 IP 地址。
  2. 已配置 DDNS,但它不能解析为正确或有效的公共 IP 地址。
  3. 覆盖主机名和 DDNS 均未配置,且 WAN 端口没有公共 IP 地址。

如何处理:如果您是使用配置文件导入连接的,请更新策略连接设置菜单 (在 Sophos Connect 客户端上)。如果您是使用 ovpn 文件创建连接的,请从用户门户导出新的 ovpn 文件,然后在 Sophos Connect 客户端中重新将其导入。