Rubriques Connexes
Dépanner Mobile VPN with SSL
Cette rubrique décrit les types de problèmes habituels que vous pouvez rencontrer avec Mobile VPN with SSL ainsi que leurs solutions les plus courantes. Même après que le client VPN soit connecté, le trafic client peut ne pas réussir à se connecter à certaines ressources réseau en raison de problèmes de configuration de stratégie ou de réseau.
Si le client VPN peut se connecter à une ressource via l'adresse IP mais pas grâce au nom, vous devez fournir au client les adresses IP des serveurs DNS et/ou WINS résolvant le nom de destination. Lorsque le client se connecte et reçoit une adresse IP virtuelle du Firebox, il reçoit également les adresses IP des serveurs DNS et WINS configurés sur le périphérique ou dans la configuration de Mobile VPN with SSL.
Pour plus d'informations sur la configuration des adresses IP DNS et WINS, consultez Résolution de nom pour Mobile VPN with SSL.
Si les utilisateurs ne peuvent pas utiliser un nom d'hôte en une partie pour se connecter aux ressources internes du réseau, mais peuvent utiliser un Nom de domaine complet (FQDN) pour se connecter, cela signifie que le suffixe DNS n'est pas défini sur le client. Lorsque vous utilisez Mobile VPN with SSL, le Firebox assigne au périphérique client le WINS, le DNS et le suffixe DNS configurés dans les paramètres Mobile VPN with SSL du Firebox.
Un client n'ayant pas de suffixe DNS assigné doit utiliser le nom de DNS complet pour transformer un nom en adresse IP. Par exemple, si le nom de DNS de votre Terminal Server est RDP.exemple.net, les utilisateurs ne peuvent pas entrer l'adresse RDP pour se connecter à leurs clients Terminal Server. Les utilisateurs doivent aussi entrer le suffixe DNS, exemple.net.
Pour plus d'informations sur le DNS pour Mobile VPN with SSL, consultez Résolution de nom pour Mobile VPN with SSL.
Si vous ne configurez pas les paramètres WINS et DNS dans la configuration de Mobile VPN with SSL, le client VPN SSL utilisera les serveurs WINS et DNS et le suffixe DNS configurés pour le Firebox.
Si vous indiquez un suffixe DNS dans les paramètres WINS/DNS pour le Firebox, sans indiquer un suffixe DNS dans les paramètres Mobile VPN with SSL, le client VPN ne reçoit pas le suffixe DNS si tous les paramètres WINS/DNS de la configuration Mobile VPN with SSL ne sont pas eux aussi configurés.
Pour plus d'informations sur la configuration des paramètres DNS/WINS, consultez Ajouter des adresses de serveurs WINS et DNS.
Si le trafic client via la connexion Mobile VPN with SSL est refusé car non géré, le problème est le plus souvent lié à une question d'appartenance à un groupe. Par défaut, Mobile VPN with SSL requiert que l'utilisateur soit membre d'un groupe appelé SSLVPN-Users. Si vous utilisez un serveur RADIUS, SecurID ou VASCO, l'appartenance au groupe doit être renvoyée avec l'attribut Filter-ID.
Pour plus d'informations sur la configuration de serveurs d'authentification externes, consultez Configurer le serveur d'authentification externe.
Si vous activez Mobile VPN with SSL, la stratégie Allow-SSL-Users est automatiquement créée pour permettre le trafic entre les clients et les ressources réseau internes ou externes. Si vous désactivez ou supprimez cette stratégie, les clients ne pourront pas envoyer de données sur les réseaux internes et externes.
Pour résoudre ce problème, assurez-vous que la stratégie existe et qu'elle autorise le trafic vers les ressources réseau.
Pour plus d'informations sur cette stratégie, consultez Configurer le Firebox pour Mobile VPN with SSL.
Si vous sélectionnez Trafic VPN routé dans les paramètres réseau de Mobile VPN with SSL, le Firebox route le trafic depuis les clients Mobile VPN with SSL vers les réseaux et ressources autorisés.
Veillez à ce que les utilisateurs exécutent la v11.10 du client Mobile VPN with SSL ou une version ultérieure. Le client Mobile VPN with SSL v11.10 et les versions ultérieures prennent en charge plus de 24 routes. Les versions antérieures du client Mobile VPN with SSL prennent en charge 24 routes au maximum.
Pour les utilisateurs exécutant le client Mobile VPN with SSL v11.9.x et les versions antérieures, votre configuration doit comporter moins de 24 routes vers les ressources sur le client Mobile VPN with SSL. Si le nombre total de réseaux ou ressources autorisées est supérieur à 24, le client VPN ne peut pas router le trafic de toutes les ressources autorisées. Pour les utilisateurs exécutant le client Mobile VPN with SSL v11.9.x et les versions antérieures, votre configuration Mobile VPN with SSL peut comprendre un nombre de route trop important si :
- Dans la configuration Mobile VPN with SSL, vous sélectionnez Autoriser l'accès aux réseaux connectés Approuvés, Facultatifs et VLANs, et vous disposez de plus de 24 ressources dans la liste des Ressources Autorisées.
- Dans la configuration Mobile VPN with SSL, vous avez sélectionné Indiquer les ressources autorisées et avez ajouté plus de 24 ressources
Les paramètres WINS et DNS peuvent aussi ajouter jusqu'à cinq routes supplémentaires, si deux serveurs DNS, deux serveurs WINS et un suffixe de domaine sont configurés. Cela réduit ensuite le nombre de ressources autorisées que le client peut router.
Pour réduire le nombre de routes, vous pouvez indiquer les ressources autorisées de manière à générer moins de routes. Pour cela, sélectionnez Indiquer les ressources autorisées puis utilisez supernets pour réduire le nombre d'entrées de ressources autorisées. Par exemple, si votre liste de Ressources autorisées inclut les ressources 192.168.1.0/24, 192.168.25.0/24 et 192.168.26.0/24, vous pouvez les regrouper en une seule ressource 192.168.0.0/22 qui contient toutes les adresses comprises entre 192.168.1.0 et 192.168.31.255.
Pour plus d'informations sur la procédure à suivre pour spécifier les ressources de Mobile VPN with SSL, consultez Configurer le Firebox pour Mobile VPN with SSL.
Ce message de journal indique que le client est dans l'impossibilité d'établir une connexion HTTPS à l'adresse IP indiquée dans la zone de texte Serveur du client Mobile VPN with SSL. Confirmez que la configuration de stratégie sur le Firebox autorise les connexions à partir de Tout-Externe au Firebox et qu'aucune autre stratégie ne gère le trafic depuis les adresses IP que vous avez configurées comme pool d'adresses IP virtuelles de Mobile VPN with SSL.
Si vous indiquez un port TCP autre que 443 en tant que canal de configuration dans la configuration Mobile VPN with SSL, les utilisateurs mobiles doivent spécifier le numéro de port dans l'adresse, dans la zone de texte Serveur du client Mobile VPN with SSL. Par exemple, si le Canal de configuration est TCP 444, indiquez 203.0.113.2:444.
Si le système d'exploitation de votre ordinateur ne prend pas en charge TLS 1.1 ou que ce protocole n'a pas été activé, ce message d'erreur peut s'afficher. Mobile VPN with SSL nécessite TLS 1.1 ou une version ultérieure. Windows XP and Vista et Mac OS v10.9 et les versions antérieures ne prennent pas en charge TLS 1.1. Dans Windows 7, il est nécessaire d'activer manuellement TLS 1.1 :
- Dans le Panneau de Configuration Windows, sélectionnez Options Internet > Avancé
- Cochez les cases Utiliser TLS 1.1 et Utiliser TLS 1.2.
Pour de plus amples informations concernant TLS et Mobile VPN with SSL, consultez la rubrique Les connexions Mobile VPN with SSL échouent depuis certaines versions de Windows et Mac OS X de la Base de Connaissances WatchGuard.
Ce problème peut être causé par une action NAT statique pour le trafic HTTPS entrant ou par un problème d'authentification client.
Lorsque le Firebox reçoit une requête HTTPS, il peut la transmettre au serveur interne si votre configuration inclut une stratégie HTTPS avec une action NAT statique. Si cela survient pour le trafic du client Mobile VPN with SSL, le client VPN ne parvient pas à se connecter et affiche à l'utilisateur un message d'erreur d'authentification :
(Authentification SSLVPN impossible) Impossible de télécharger la configuration depuis le serveur. Souhaitez-vous essayer de vous connecter en utilisant la configuration la plus récente ?
Vérifiez la configuration pour vous assurer qu'une stratégie ne transmet pas les requêtes HTTPS par le port utilisé par le client Mobile VPN with SSL vers un autre serveur.
Ce message d'erreur d'authentification peut aussi indiquer un problème d'authentification.
Pour résoudre un problème d'authentification client :
- Connectez-vous au Firebox.
- Vérifiez la configuration de Mobile VPN with SSL
- Enregistrez les adresses IP Principale et de Secours configurées.
L'adresse peut aussi être un nom de domaine. Si c'est un nom de domaine, confirmez l'adresse IP que le nom de domaine résout. - Enregistrez le port TCP du Canal de configuration configuré.
- Dans votre navigateur, saisissez https://<ip-address> ou https://<ip-address>/sslvpn.html, <ip-address> correspondant à l'adresse IP principale de la configuration Mobile VPN with SSL. Si le port TCP du Canal de configuration configuré n'est pas 443, ajoutez le numéro du port à l'adresse, séparé par le signe deux-points. Par exemple, si le Canal de configuration est le port TCP 444, saisissez https://<ip-address>:444 ou https://<ip-address>:444/sslvpn.html dans le navigateur.
- Si la page du Portail d'Authentification WatchGuard de votre Firebox apparait, passez à l'étape 6.
- Si une page autre que celle du Portail d'authentification WatchGuard apparait, consultez la configuration de votre Firebox pour identifier la raison pour laquelle le trafic a été dirigé vers cet emplacement. Envisagez éventuellement de changer l'adresse IP configurée pour le VPN.
- Connectez-vous à la page du Portail d'Authentification WatchGuard avec les informations d'identification du client.
Si plusieurs types de serveurs d'authentification sont configurés ou si votre serveur d'authentification n'est pas l'option par défaut, sélectionnez le serveur d'authentification dans la liste déroulante.- Si l'utilisateur s'authentifie avec succès, passez à l'étape 7.
- Si l'authentification de l'utilisateur échoue, vérifiez les informations d'identification de l'utilisateur sur le Firebox ou sur le serveur d'authentification externe. Pour les utilisateurs d'un serveur d'authentification externe, vérifiez si les autres utilisateurs qui utilisent ce serveur peuvent se connecter. Il peut y avoir un problème d'authentification d'ordre général.
- Dans le navigateur, saisissez https://<ip-address> ou https://<ip-address>/sslvpn.html. Si le port TCP du Canal de configuration configuré n'est pas 443, ajoutez le numéro du port à l'adresse, séparé par le signe deux-points.
Par exemple, si le Canal de configuration est le port TCP 444, saisissez https://<ip-address>:444 ou https://<ip-address>:444/sslvpn.html.
Le Portail d'Authentification WatchGuard apparait. - Connectez-vous avec les informations d'identification client utilisées à l'étape 5.
Si l'authentification de l'utilisateur échoue à la page d'authentification spécifique à Mobile VPN with SSL, mais que les mêmes informations d'identification fonctionnent sur la page du Portail d'Authentification WatchGuard, le problème est certainement dû à une appartenance de groupe. Confirmez que l'utilisateur fait partie du groupe configuré pour Mobile VPN with SSL. Par défaut, il s'agit du groupe SSLVPN-Users.
Dans Fireware v11.12 et les versions ultérieures, l'URL du portail d'authentification VPN SSL redirige vers l'adresse https://<ip-address>/sslvpn_logon.shtml.
Si vos clients VPN peuvent se connecter à certaines parties du réseau mais pas à d'autres ou que le reste du trafic échoue lorsque les messages de journal montrent que le trafic est autorisé, cela peut indiquer un problème de routage. Vérifiez les points suivants :
- Le pool d'adresses IP virtuelles des clients Mobile VPN with SSL ne chevauche pas les adresses IP assignées aux utilisateurs du réseau interne.
- Le pool d'adresses IP virtuelles ne chevauche pas et n'est pas en conflit avec d'autres réseaux routés ou VPN, configurés sur le Firebox.
- Si les utilisateurs Mobile VPN with SSL doivent accéder à un réseau routé ou VPN, les hôtes de ce réseau routé ou VPN doivent disposer d'une route valide pour ce pool d'adresses IP virtuelles ou le Firebox doit être la route d'Internet par défaut pour ces hôtes.
Pour plus d'informations sur la configuration du pool d'adresses IP, consultez Configurer le Firebox pour Mobile VPN with SSL.
Si vous n'arrivez pas à vous connecter aux ressources réseau via un tunnel VPN établi, consultez Dépanner la Connectivité Réseau pour plus d'informations sur les autres actions que vous pouvez entreprendre pour identifier et résoudre le problème.