Failed to establish the VPN connection. This may be caused by a mismatch in the TLS version. Please check the TLS version settings in the Advanced of the Internet options. (-5029)
Beim FortiClient kann der aufbau einer SSL-VPN Verbindung zur FortiGate folgende Warnung ausgeben.
Symptom
Ursache
Das mittlerweile veraltete kryptografische Protokoll TLS 1.0 ist ab FortiOS 6.0 per default nicht mehr aktiviert. Es wird empfohlen mindestens TLS 1.1 (Cipher Suites) für Authentifizierung und Datenverschlüsselung zu verwenden. Wir sind derzeit bei TLS 1.3, das von der IETF (Internet Engineering Task Force) genehmigt wurde.
Lösung
Möchte man ältere Clients weiter verwenden, die man im Verlauf einer Migration über Update Rollout erst später mit TLS 1.2 oder höher einsatzbereit hat, kann auf der FortiGate das TLS 1.0 aktiviert werden.
Überprüfen der aktuellen TLS Einstellung, aus der FortiGate Console mit CLI Command:
FG60E # get vpn ssl settings | grep tls tlsv1-0 : disable tlsv1-1 : enable tlsv1-2 : enable dtls-hello-timeout : 10 dtls-tunnel : enable
Im CLI die Cipher Suite TLS 1.0 aktivieren.
config vpn ssl settings set tlsv1-0 enable
Auch kann beim Client die TLS Version aus dem Microsoft Windows Snapin (inetcpl.cpl) Internetoptionen angepasst werden.
Win + R und der Eingabe von inetcpl.cpl
Bei Internetoptionen im Registerabschnitt Erweitert die TLS Version 1.0 aktivieren.
Weitere Problemlösungen
Bei älteren Windows Versionen, oder bei Router mit PPPoE Internet Anbindung, können Fehler beim aufbau von SSL-VPN Verbindungen wie folgt behoben werden.
Es erscheint im FortiClient die Fehlermeldung:
Unable to establish the VPN connection. The VPN server may be unreachable (-5)
Dazu überprüft man die MTU grösse der Netzwerkschnittstellen, mit folgendem Befehl aus einer geöffneten Eingabeaufforderung
netsh interface ipv4 show subinterface
Die Ausgabe kann in etwa wie folgt aussehen:
C:\> netsh interface ipv4 show subinterface MTU Medienerkennungsstatus Bytes eingehend Bytes ausgehend Schnittstelle ------ --------------- --------- --------- ------------- 1500 5 0 0 Ethernet 1500 1 598892209 19487894 WiFi 1500 5 0 0 Mobilfunk 1500 1 5248 144442 VMware Network Adapter VMnet1 1500 5 0 0 LAN-Verbindung* 1 1500 1 0 134436 VMware Network Adapter VMnet8 1500 5 0 0 LAN-Verbindung* 5 4294967295 1 0 67869 Loopback Pseudo-Interface 1 1500 5 0 0 Bluetooth-Netzwerkverbindung 1500 5 0 0 Ethernet 3
Die MTU Size überprüfen und ggf. auf 1400 anpassen. In einer als Administrator geöffneten Eingabeaufforderung, mit ausführen von netsh.
netsh interface ip4 set subinterface Ethernet mtu=1400 store=persistent
Alternativ dazu Regedit aufrufen und zu folgendem Schlüssel navigieren.
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
unter dem entsprechenden Interface mit der passenden IP Adresse, hier {222e135b-d09c-47a3-9236-63a041a02ea6} den Schlüssel MTU mit Wert 578 Hexadecimal ändern.
Nach einem Computer neustart kann die SSL-VPN Verbindung aufgebaut werden.