Dépanner Mobile VPN with SSL

Ce message de journal indique que le client ne peut pas établir une connexion HTTPS à l'adresse IP indiquée dans la zone de texte Serveur dans le client Mobile VPN with SSL. Confirmez que la configuration de stratégie sur le Firebox autorise les connexions à partir de Tout-Externe au Firebox et qu'aucune autre stratégie ne gère le trafic depuis les adresses IP que vous avez configurées comme pool d'adresses IP virtuelles de Mobile VPN with SSL.

Si vous indiquez un port TCP différent de 443 en tant que Canal de Configuration dans les paramètres Mobile VPN with SSL, les utilisateurs mobiles doivent spécifier le numéro de port dans l'adresse, dans la zone de texte Serveur du client Mobile VPN with SSL. Par exemple, s'il s'agit du port TCP 444, spécifiez 203.0.113.2:444 sur le client.

Sur Fireware v12.1.x, les paramètres partagés par Access Portal et Mobile VPN with SSL s'affichent sur la page Portail VPN. Le Canal de Données de Configuration de Mobile VPN with SSL a été renommé Port VPN Portal et figure dans les paramètres du Portail VPN. Sur Fireware v12.2, les paramètres du Portail VPN figurent désormais dans les configurations Access Portal et Mobile VPN with SSL. Pour obtenir les instructions de configuration s'appliquant à Fireware v12.1.x, consultez la section Configurer les paramètres du Portail VPN dans Fireware v12.1.x de la Base de Connaissances WatchGuard.

Si le système d'exploitation de votre ordinateur ne prend pas en charge la TLS 1.2 ou si la TLS 1.2 ou les versions ultérieures n'a pas été activée, ce message d'erreur peut s'afficher. Dans Fireware v12.5.4 et les versions ultérieures, Mobile VPN with SSL exige TLS 1.2 ou une version ultérieure. Pour éviter les failles de sécurité de TLS 1.1 et des versions antérieures, nous vous recommandons de désactiver TLS 1.1 et d'activer uniquement TLS 1.2 et les versions ultérieures.

Certains systèmes d'exploitation anciens ne prennent pas en charge la TLS 1.2 ou version ultérieure. Pour de plus amples informations concernant la TLS dans les systèmes d'exploitation plus anciens, consultez la rubrique Les connexions Mobile VPN with SSL échouent depuis certaines versions de Windows et macOS de la Base de Connaissances WatchGuard.

Ce problème peut être causé par une action NAT statique (SNAT) pour le trafic HTTPS entrant ou un problème d'authentification client.

Lorsque le Firebox reçoit une requête HTTPS, il peut la transmettre au serveur interne si votre configuration inclut une stratégie HTTPS avec une action NAT statique. Si cette situation survient pour le trafic du client Mobile VPN with SSL, le client ne parvient pas à se connecter et un message d'échec d'authentification s'affiche :

(Authentification SSLVPN impossible) Impossible de télécharger la configuration sur le serveur. Souhaitez-vous essayer de vous connecter en utilisant la configuration la plus récente ?

Vérifiez la configuration pour vous assurer qu'une stratégie ne transmet pas les requêtes HTTPS par le port utilisé par le client Mobile VPN with SSL vers un autre serveur.

Ce message d'erreur d'authentification peut aussi indiquer un problème d'authentification.

Pour résoudre un problème d'authentification client :

1. Connectez-vous au Firebox.
2. Vérifiez la configuration Mobile VPN with SSL.
3. Enregistrez les adresses IP Principale et de Secours configurées.
   L'adresse peut aussi être un nom de domaine. Si c'est un nom de domaine, confirmez l'adresse IP que le nom de domaine résout.
4. Enregistrez le port TCP du Canal de configuration configuré.
   Dans Fireware v12.1.x, sélectionnez Authentification > Configurer et enregistrez le port du portail VPN configuré. Dans Fireware v12.1.x, le paramètre de canal de configuration porte comme nom le port du Portail VPN.
5. Dans votre navigateur Web, saisissez https://<ip-address>/sslvpn.html, où <ip-address> correspond à l'adresse IP Principale de la configuration Mobile VPN with SSL. Si le port TCP du Canal de configuration configuré n'est pas 443, ajoutez le numéro du port à l'adresse, séparé par le signe deux-points. Par exemple, si le Canal de configuration est le port TCP 444, saisissez https://<ip-address>:444/sslvpn.html dans le navigateur.
   • Si la page du Portail d'Authentification WatchGuard de votre Firebox apparait, passez à l'étape 6.
   • Si une page autre que celle du Portail d'authentification WatchGuard apparait, consultez la configuration de votre Firebox pour identifier la raison pour laquelle le trafic a été dirigé vers cet emplacement. Envisagez éventuellement de changer l'adresse IP configurée pour le VPN.
6. Connectez-vous à la page du Portail d'Authentification WatchGuard avec les informations d'identification du client.
   Si plusieurs types de serveurs d'authentification sont configurés ou si votre serveur d'authentification n'est pas l'option par défaut, sélectionnez le serveur d'authentification dans la liste déroulante.
   • Si l'utilisateur s'authentifie avec succès, passez à l'étape 7.
   • Si l'authentification de l'utilisateur échoue, vérifiez les informations d'identification de l'utilisateur sur le Firebox ou sur le serveur d'authentification externe. Pour les utilisateurs d'un serveur d'authentification externe, vérifiez si les autres utilisateurs qui utilisent ce serveur peuvent se connecter. Il est possible qu'il y ait un problème d'authentification général.
7. Dans votre navigateur Web, saisissez https://<ip-address>/sslvpn.html. Si le port TCP du Canal de configuration configuré n'est pas 443, ajoutez le numéro du port à l'adresse, séparé par le signe deux-points.
   Par exemple, si le Canal de configuration est le port TCP 444, saisissez https://<ip-address>:444/sslvpn.html.
   Le Portail d'Authentification WatchGuard apparait.
8. Connectez-vous avec les informations d'identification client utilisées à l'étape 5.

Si l'authentification de l'utilisateur échoue à la page d'authentification spécifique à Mobile VPN with SSL, mais que les mêmes informations d'identification fonctionnent sur la page du Portail d'Authentification WatchGuard, le problème est certainement dû à une appartenance de groupe. Confirmez que l'utilisateur fait partie du groupe configuré pour Mobile VPN with SSL. Par défaut, il s'agit du groupe SSLVPN-Users.

Pour dépanner les problèmes d'authentification AuthPoint, consultez la section Intégration Mobile VPN with SSL du Firebox à AuthPoint et Dépanner AuthPoint.

Ce message indique un problème sur l'ordinateur client. Pour dépanner l'ordinateur client, vérifiez que :

• Le service VPN SSL est démarré
• Le pilote TAP est correctement installé
• Un autre client VPN présent sur l'ordinateur n'a pas installé de pilotes qui ont créé un conflit.
• Les logiciels de sécurité, anti-virus et/ou pare-feu, ne bloquent pas le pilote TAP
• Dans Internet Explorer, dans les paramètres Options Internet > Avancé, SSL 3.0 n'est pas sélectionné.

Ce problème peut survenir si un routeur ou un modem du réseau local de l'utilisateur empêche le retour de communication du Firebox au client VPN.

Dans le Gestionnaire de Périphériques Windows, contrôlez l'état de l'adaptateur virtuel afin de vous assurer qu'un routeur ou modem local n'inspecte pas, ne filtre pas et n'agisse pas en tant que proxy pour le trafic VPN. Vous devrez parfois ajuster les paramètres de sécurité du routeur ou du modem local.

Pour résoudre ce problème, ajoutez une stratégie de Première Exécution pour les connexions VPN sortantes des clients réseau vers le endpoint VPN externe. À titre d'exemple, sur le Firebox géré sur le cloud, créez une stratégie de Première Exécution pour le trafic TCP 443 destiné uniquement à l'adresse IP publique configurée sur le Firebox géré localement pour les connexions VPN SSL.

Pour de plus amples informations concernant les stratégies de première exécution dans WatchGuard Cloud, consultez la section Types de Stratégies de Pare-Feu.

Lors du processus de connexion VPN, le Firebox vérifie l'identité de l'utilisateur et les groupes auxquels il appartient dans la base de données locale ou sur un serveur RADIUS existant. L'utilisateur doit appartenir :

• Le groupe Utilisateurs-SSLVPN par défaut sur le Firebox, ou
• À un groupe explicitement ajouté lors de la configuration du Firebox.

Pour dépanner ce problème :

• Vérifiez que le groupe Utilisateurs-SSLVPN existe sur tous vos serveurs d'authentification.
• Si vous avez ajouté un autre groupe à la configuration Mobile VPN with SSL, vérifiez que ce groupe existe sur tous vos serveurs d'authentification.
• Vérifiez que l'utilisateur est membre du groupe Utilisateurs-SSLVPN (ou un autre groupe que vous avez ajouté à la configuration Mobile VPN with SSL) sur le serveur d'authentification.
• Si vous utilisez RADIUS pour authentifier ces utilisateurs, vérifiez que le serveur RADIUS renvoie l'appartenance au groupe comme attribut Filter-ID.

Pour plus d'informations sur la configuration de serveurs d'authentification externes, consultez Configurer le Serveur d'Authentification externe.

Si le client VPN peut se connecter à une ressource via l'adresse IP mais pas grâce au nom, vous devez fournir au client les adresses IP des serveurs DNS ou WINS résolvant le nom de destination. Lorsque le client se connecte et reçoit une adresse IP virtuelle du Firebox, il reçoit également les adresses IP des serveurs DNS et WINS configurés sur le Firebox ou dans la configuration de Mobile VPN with SSL.

Lorsque vous configurez Mobile VPN with SSL dans Fireware v12.2.1 ou une version ultérieure, vous pouvez opter pour :

• Assigner au périphérique client le serveur WINS, le serveur DNS et le suffixe DNS configurés dans les paramètres Mobile VPN with SSL du Firebox
• Assigner au périphérique client le serveur WINS, le serveur DNS et le suffixe DNS configurés dans les paramètres DNS/WINS Réseau (globaux) du Firebox
• Ne pas assigner de paramètres DNS ou WINS au périphérique client

Pour plus d'informations sur la configuration des adresses IP DNS et WINS, consultez Résolution de nom pour Mobile VPN with SSL.

Pour de plus amples informations concernant les paramètres DNS globaux sur le Firebox, consultez Configurer les Serveurs DNS et WINS.

Si les utilisateurs ne peuvent pas utiliser un nom d'hôte en une partie pour se connecter aux ressources internes du réseau, mais peuvent utiliser un Nom de domaine complet (FQDN) pour se connecter, cela signifie que le suffixe DNS n'est pas défini sur le client. Lorsque vous configurez Mobile VPN with SSL dans Fireware v12.2.1 ou une version ultérieure, vous pouvez opter pour :

• Assigner au périphérique client le serveur WINS, le serveur DNS et le suffixe DNS configurés dans les paramètres Mobile VPN with SSL du Firebox
• Assigner au périphérique client le serveur WINS, le serveur DNS et le suffixe DNS configurés dans les paramètres DNS/WINS Réseau (globaux) du Firebox
• Ne pas assigner de paramètres DNS ou WINS au périphérique client

Un client n'ayant pas de suffixe DNS assigné doit utiliser le nom de DNS complet pour transformer un nom en adresse IP. Par exemple, si le nom de DNS de votre Terminal Server est RDP.exemple.net, les utilisateurs ne peuvent pas entrer l'adresse RDP pour se connecter à leurs clients Terminal Server. Les utilisateurs doivent aussi entrer le suffixe DNS, exemple.net.

Pour plus d'informations sur le DNS pour Mobile VPN with SSL, consultez Résolution de nom pour Mobile VPN with SSL.

Pour de plus amples informations concernant les paramètres DNS globaux sur le Firebox, consultez Configurer les Serveurs DNS et WINS.

Dans Fireware v12.2 et les versions antérieures, si vous ne configurez pas les paramètres DNS et WINS dans la configuration Mobile VPN with SSL, le client VPN SSL obtient les paramètres DNS/WINS Réseau (globaux). Il s'agit du serveur DNS, du serveur WINS et du suffixe de domaine. Si vous indiquez un suffixe DNS dans les paramètres WINS/DNS Réseau (globaux) du Firebox sans indiquer de suffixe DNS dans les paramètres Mobile VPN with SSL, le client VPN ne reçoit pas le suffixe DNS si tous les paramètres DNS et WINS de la configuration Mobile VPN with SSL ne sont pas également configurés.

Si le trafic client via la connexion Mobile VPN with SSL est refusé car non géré, le problème est le plus souvent lié à une question d'appartenance à un groupe. Par défaut, Mobile VPN with SSL requiert que l'utilisateur soit membre d'un groupe appelé SSLVPN-Users. Si vous utilisez un serveur RADIUS, SecurID ou VASCO, l'appartenance au groupe doit être renvoyée avec l'attribut Filter-ID.

Pour plus d'informations sur la configuration de serveurs d'authentification externes, consultez Configurer le Serveur d'Authentification externe.

Si vous configurez Mobile VPN with SSL de manière à envoyer l'ensemble du trafic via le tunnel, mais que le trafic d'Office 365 n'y transite pas, ces options s'offrent à vous :

• Activez l'option default-route-client dans la CLI de Fireware (Fireware v12.5.3 et versions ultérieures)
• Configurez manuellement une passerelle par défaut sur le client
• Utilisez une autre méthode de mobile VPN Fireware

Pour de plus amples informations et pour configurer les deux premières solutions, consultez la section Office 365 échoue pour les utilisateurs de Mobile VPN with SSL de la Base de Connaissances WatchGuard.

Si vous sélectionnez Trafic VPN routé dans les paramètres réseau de Mobile VPN with SSL, le Firebox route le trafic depuis les clients Mobile VPN with SSL vers les réseaux et ressources autorisés.

Veillez à ce que les utilisateurs exécutent la v11.10 du client Mobile VPN with SSL ou une version ultérieure. Le client Mobile VPN with SSL v11.10 et les versions ultérieures prennent en charge plus de 24 routes. Les versions antérieures du client Mobile VPN with SSL prennent en charge 24 routes au maximum.

Pour les utilisateurs exécutant le client Mobile VPN with SSL v11.9.x et les versions antérieures, votre configuration doit comporter moins de 24 routes vers les ressources sur le client Mobile VPN with SSL. Si le nombre total de réseaux ou ressources autorisées est supérieur à 24, le client VPN ne peut pas router le trafic de toutes les ressources autorisées. Pour les utilisateurs exécutant le client Mobile VPN with SSL v11.9.x et les versions antérieures, votre configuration Mobile VPN with SSL peut comprendre un nombre de route trop important si :

• Dans la configuration Mobile VPN with SSL, vous sélectionnez Autoriser l'accès aux réseaux connectés Approuvés, Facultatifs et VLANs, et vous disposez de plus de 24 ressources dans la liste des Ressources Autorisées.
• Dans la configuration Mobile VPN with SSL, vous avez sélectionné Indiquer les ressources autorisées et avez ajouté plus de 24 ressources.

Les paramètres WINS et DNS peuvent aussi ajouter jusqu'à cinq routes supplémentaires, si deux serveurs DNS, deux serveurs WINS et un suffixe de domaine sont configurés. Cela réduit ensuite le nombre de ressources autorisées que le client peut router.

Pour réduire le nombre de routes, vous pouvez indiquer les ressources autorisées de manière à générer moins de routes. Pour cela, sélectionnez Indiquer les ressources autorisées puis utilisez supernets pour réduire le nombre d'entrées de ressources autorisées. Par exemple, si votre liste de Ressources autorisées inclut les ressources 192.168.1.0/24, 192.168.25.0/24 et 192.168.26.0/24, vous pouvez les regrouper en une seule ressource 192.168.0.0/22 qui contient toutes les adresses comprises entre 192.168.1.0 et 192.168.31.255.

Pour plus d'informations sur la procédure à suivre pour spécifier les ressources de Mobile VPN with SSL, consultez Configurer Manuellement le Firebox pour Mobile VPN with SSL.

Si vous activez Mobile VPN with SSL, la stratégie Allow SSLVPN-Users est automatiquement créée pour permettre le trafic des clients vers les ressources réseau internes ou externes. Si vous désactivez ou supprimez cette stratégie, les clients ne pourront pas envoyer de données sur les réseaux internes et externes.

Pour résoudre ce problème, assurez-vous que la stratégie existe et qu'elle autorise le trafic vers les ressources réseau.

Pour plus d'informations sur cette stratégie, consultez Configurer Manuellement le Firebox pour Mobile VPN with SSL et Options pour l'accès à internet par le biais d'un tunnel Mobile VPN with SSL.

Si vos clients VPN peuvent se connecter à certaines parties du réseau uniquement ou que le trafic échoue alors que les messages de journal indiquent que le trafic est autorisé, il existe peut-être un problème de routage. Vérifiez les points suivants :

• Le pool d'adresses IP virtuelles des clients Mobile VPN with SSL ne chevauche pas les adresses IP assignées aux utilisateurs du réseau interne.
• Le pool d'adresses IP virtuelles ne chevauche pas d'autres réseaux routés ou VPN, configurés sur le Firebox.
• Si votre entreprise possède plusieurs sites avec des configurations mobile VPN, chaque site dispose d'un pool d'adresses IP virtuelles qui ne chevauche pas les pools d'autres sites.
• Le pool d'adresses IP virtuelles n'utilise pas les plages de réseau privé 192.168.0.0/24 ou 192.168.1.0/24 sur vos réseaux d'entreprise ou invités. Ces plages sont couramment utilisées sur les réseaux domestiques. Si un utilisateur mobile VPN a une plage de réseau domestique qui chevauche la plage de votre réseau d'entreprise, le trafic de l'utilisateur ne passe pas par le tunnel VPN. Pour résoudre ce problème, nous vous recommandons de Migrer vers une Nouvelle Plage Réseau Standard.
• Si les utilisateurs Mobile VPN with SSL doivent accéder à un réseau routé ou VPN, les hôtes de ce réseau routé ou VPN doivent disposer d'une route valide pour ce pool d'adresses IP virtuelles ou le Firebox doit être la route d'Internet par défaut pour ces hôtes.

Pour plus d'informations sur la configuration du pool d'adresses IP, consultez Configurer Manuellement le Firebox pour Mobile VPN with SSL.

Déterminez si le problème concerne tous les utilisateurs du VPN ou certains seulement. Si le problème ne concerne que certains utilisateurs du VPN ou les utilisateurs d'un site spécifique :

• Vérifiez que les pare-feux du site des utilisateurs autorisent la connexion VPN.
• Déterminez si les utilisateurs concernés possèdent un sous-réseau inhabituel chevauchant le réseau situé derrière votre Firebox.

Si le problème concerne la plupart de vos utilisateurs (ou tous), déterminez si le réseau situé derrière le Firebox possède un sous-réseau couramment utilisé par les réseaux domestiques.

Nous vous recommandons de ne pas utiliser les plages de réseaux privés 192.168.0.0/24 ou 192.168.1.0/24 sur vos réseaux d'entreprise ou invité. Ces plages sont couramment utilisées sur les réseaux domestiques. Si un utilisateur mobile VPN a une plage de réseau domestique qui chevauche la plage de votre réseau d'entreprise, le trafic de l'utilisateur ne passe pas par le tunnel VPN. Pour résoudre ce problème, nous vous recommandons de Migrer vers une Nouvelle Plage Réseau Standard.