Résoudre les problèmes

Ce chapitre liste certains problèmes fréquemment rencontrés lors de l'utilisation du client VPN SSL Stormshield. Si celui que vous rencontrez ne se trouve pas dans ce chapitre, nous vous recommandons de consulter la Base de connaissances Stormshield.

Une configuration proxy est définie sur le poste de travail et le client VPN SSL Stormshield ne parvient pas à joindre le firewall SNS

• Situation : Lors de la tentative de connexion au VPN SSL sur un poste de travail disposant d'une configuration proxy, le tunnel ne s'établit pas.

• Cause : L'accès direct en HTTPS n'est pas autorisé sans utiliser le proxy du poste de travail. Par défaut, les requêtes HTTPS vers le firewall SNS, notamment pour télécharger la configuration VPN, sont effectuées en direct par le client VPN SSL Stormshield sans passer par le proxy.

  NOTE
  Jusqu'à la version 4.0.9, la version 4.0 du client VPN SSL Stormshield utilisait la configuration proxy définie sur le poste de travail pour contacter le firewall SNS en HTTPS. Ce comportement a été modifié en version 4.0.10.

• Solution : Modifiez à 1 la valeur http_use_default_proxy dans la base de registre sous la clé :

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\StormshieldSSLVPNService\Parameters

Lors du premier établissement du tunnel VPN SSL, les utilisateurs doivent approuver le certificat présenté par le firewall SNS

• Situation : Lors du premier établissement du tunnel VPN SSL, les utilisateurs doivent approuver le certificat présenté par le firewall SNS, alors même que ce certificat est certifié par une autorité de certification présente dans le magasin de certificats des utilisateurs.

• Cause : L'autorité de certification racine est présente uniquement dans le magasin de certificats des utilisateurs et n'est pas présente dans le magasin de certificats du poste de travail. Par défaut, la vérification du certificat par le client VPN SSL Stormshield utilise le magasin de certificats du poste de travail.
  

• Solution : Modifiez à 1 la valeur http_request_as_user dans la base de registre sous la clé :

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\StormshieldSSLVPNService\Parameters

Le tunnel ne s’établit pas et le message "La connexion a été refusée car l'utilisateur ou le poste client utilisé n'est pas conforme à la politique définie sur le firewall" s'affiche.

• Situation : Lors de la tentative de connexion au VPN SSL, le tunnel ne s'établit pas et le message "La connexion a été refusée car l'utilisateur ou le poste client utilisé n'est pas conforme à la politique définie sur le firewall" s'affiche.

• Cause : Le poste client utilisé ne respecte pas tous les critères définis dans la politique de vérification de la conformité des postes clients et des utilisateurs (ZTNA).
  

• Solutions :

  • Vérifiez les critères non conformes en vous reportant à la section Afficher les journaux VPN (SSL, IPsec) et identifier les critères de vérification non conformes d'un poste client, puis mettez en conformité le poste client concerné,

  • Vérifiez la configuration de la politique de vérification de la conformité des postes clients en vous reportant à la section Configurer la politique de vérification de la conformité des postes clients (cas du ZTNA).

Le tunnel ne s’établit pas et le message "Connexion au firewall impossible : Echec de résolution du nom de l'UTM" s'affiche.

• Situation : Lors de la tentative de connexion au VPN SSL, le tunnel ne s'établit pas et le message "Connexion au firewall impossible : Echec de résolution du nom de l'UTM" s'affiche.

• Cause : L'adresse renseignée est incorrecte ou n'est pas joignable.
  

• Solution : Vérifiez que l’adresse du firewall renseignée est correcte ou est joignable.

Le tunnel ne s’établit pas et le message "Identifiant ou mot de passe incorrect" s'affiche.

• Situation : Lors de la tentative de connexion au VPN SSL, le tunnel ne s'établit pas et le message "Identifiant ou mot de passe incorrect" s'affiche.

• Cause : Le mot de passe de l'utilisateur est incorrect ou ce dernier ne dispose pas des droits pour s'authentifier en VPN SSL.
  

• Solutions :

  • Vérifiez que l'identifiant et le mot de passe sont corrects.

  • Sur le firewall SNS, vérifiez que la Politique VPN SSL est paramétrée sur Autoriser dans Configuration > Utilisateurs > Droits d'accès, onglet Accès par défaut et que l’utilisateur ou le groupe d'utilisateurs concerné est autorisé à établir un tunnel VPN SSL dans Configuration > Utilisateurs > Droits d'accès, onglet Accès détaillé.

Le tunnel ne s’établit pas et le message "Erreur lors de la connexion au service : Connection refused" s'affiche.

• Situation : Lors de la tentative de connexion au VPN SSL, le tunnel ne s'établit pas et le message "Erreur lors de la connexion au service : Connection refused" s'affiche.

• Cause : Les services Stormshield SSL OpenVPN Service et Stormshield SSL VPN Service ne sont pas démarrés ou ne fonctionnent pas.
  

• Solution : Vérifiez que les services Windows sont bien démarrés sur le poste de travail ou essayez de les redémarrer.

Le tunnel ne s’établit pas et les journaux contiennent le message "Route: Waiting for TUN/TAP interface to come up...".

• Situation : Lors de la tentative de connexion au VPN SSL, le tunnel ne s'établit pas et le message "Erreur lors de la connexion au service : Connection refused" s'affiche dans les journaux.

• Cause : Un problème avec l'interface TAP-Windows Adapter empêche le tunnel VPN de s'établir.
  

• Solution : Dans le Centre Réseau et Partage Windows, cliquez sur Modifier les paramètres de la carte, effectuez un clic-droit sur l'interface TAP-Windows Adapter et cliquez sur Diagnostiquer.

Une ressource de l’entreprise n’est pas accessible via le tunnel VPN

• Situation : Le tunnel est établi, mais une ressource de l’entreprise n’est pas accessible.

• Cause : La politique de filtrage du firewall bloque l'accès à cette ressource ou cette dernière n'est plus accessible. D'autres raisons peuvent être la cause de cette situation.
  

• Solutions :

  • Sur le firewall SNS, activez temporairement sur la règle du flux concerné le niveau de trace Avancé pour collecter des logs (dans Configuration > Politique de sécurité > Filtrage et NAT > Filtrage), puis vérifiez dans les logs que la règle s'applique pour ce flux (dans Monitoring > Logs - Journaux d'audit > Filtrage),

  • Assurez-vous que la ressource demandée est bien physiquement disponible,

  • Videz le cache ARP du poste de travail en exécutant la commande arp -d * dans une console.

Le tunnel VPN se ferme lors de l'envoi d'un fichier dont le poids est très important

• Situation : Lors de l'envoi d'un fichier volumineux, le tunnel VPN se ferme.

• Cause : Le fichier envoyé est trop volumineux.
  

• Solution : Réalisez l'envoi du fichier en utilisant un protocole qui utilise des blocs plus petits (comme FTP) ou en établissant le tunnel en UDP.