FortiClient Error -5

Wenn der FortiClient unter SSL-VPN die folgende Fehlermeldung ausgibt, kann sich ein ganz anderer Fehler dahinter verbergen! Zumal an der SSL-VPN Konfiguration an sich nichts verändert wurde und diese ja über eine lange Zeit hinweg perfekt funktioniert hat!

Fehlermeldung:
Die VPN Verbindung konnte nicht hergestellt werden. Entweder ist der VPN Server nicht erreichbar oder Ihr Zertifikat ist nicht bekannt. (-5)

SSL-VPN Error Dialog mit dem Error -5

In diesem Fall kann man schon einige Zeit suchen bis man den echten Grund findet!
Vermutlich ist bei einem Firmware Update ein Migrationsfehler der Konfig passiert.

Der echte Grund ist, es wurde TLS 1.2 deaktiviert in der Forti — warum auch immer!
Das ist erst durch einen einfachen Test mit openssl herausgekommen:

openssl s_client -connect ssl-vpn-hostname:10443 -tls1_2

CONNECTED(00000003)
4037FACC777F0000:error:0A00042E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version:../ssl/record/rec_layer_s3.c:1584:SSL alert number 70
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 208 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1700663685
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
---

Aha! Das ist also der echte Hintergrund, ein Gegentest mit TLS1.3 hingegen funktioniert fehlerfrei!

openssl s_client -connect ssl-vpn-hostname:10443 -tls1_3
CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = ssl-vpn-hostname
verify return:1
---
Certificate chain
0 s:CN = ssl-vpn-hostname
i:C = US, O = Let's Encrypt, CN = R3
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Nov 19 10:50:52 2023 GMT; NotAfter: Feb 17 10:50:51 2024 GMT
1 s:C = US, O = Let's Encrypt, CN = R3
i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Sep 4 00:00:00 2020 GMT; NotAfter: Sep 15 16:00:00 2025 GMT
2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
a:PKEY: rsaEncryption, 4096 (bit); sigalg: RSA-SHA256
v:NotBefore: Jun 4 11:04:38 2015 GMT; NotAfter: Jun 4 11:04:38 2035 GMT
---
Server certificate
-----BEGIN CERTIFICATE-----
..... snip .....

Das lässt sich durch folgende Commandos auf der CLI in der Forti beheben:

config vpn ssl settings
set ssl-min-proto-ver tls1-2
set ssl-max-proto-ver tls1-3
end

(und dann auch gleich ein paar andere Parameter mit angepasst)

config vpn ssl settings
set dtls-tunnel enable
set dtls-min-proto-ver dtls1-0
set dtls-max-proto-ver dtls1-2
set ztna-trusted-client disable
end

(wichtig ist auch eine Kontrolle der Zeile mit dem SSL-Zert, ob hier wohl das richtige ausgewählt ist)

config vpn ssl settings
set servercert "ssl-vpn-hostname...."
end

Danach hat zumindest die Verbindung gleich wieder geklappt. Es wurde nun aber der folgende Fehler angezeigt:
Falsche Anmeldeinformation oder SSLVPN Konfiguration. (-7200)

Alterntiver Lösungsansatz

Im Windows TLS 1.2 und TLS 1.3 aktivieren, die alten TLS Varianten alle deaktivieren.
ACHTUNG: diese Einstellungen wirken systemweit! Daher also bitte Vorsicht, wirklich nur verstellen wenn das die IT Abteilung freigibt bzw wenn sie sich sicher sind das hier keine Folgeprobleme damit entstehen könnten! 😉

Der FortiClient verwendet eigentlich die Settings vom System, das kann hier eingestellt werden:
Windows-R (run command)
inetcpl.cpl (startet den System Dialog „Eigenschaften von Internet“ – das bezieht sich auf die Settings vom MS-IE. ACHTUNG: das wirkt sich im ganzen Windows aus was hier eingestellt wird!)

Systemweite Settings für die Netzwerk/Internet Einstellungen

Dieser Versuch hier TLS 1.3 zu aktivieren hat leider nichts gebracht, es wurde vom FortiClient trotzdem nut TLS 1.2 verwendet. Daher war die Änderung der Forti Config in dem Fall die einzig richtige Lösung für uns.

Firewall-Wartung

Nach dem Update einer Firewall hat es Probleme mit den Filtern gegeben, dadurch war web07 kurzzeitig offline.
Erst nach dem re-install der betroffenen Filter konnten alle Regeln einwandfrei angewendet werden.
Wir bitten für den Ausfall um Entschuldigung.

Es stehen für heute noch weitere Updates an, eingeplant sind dabei Ausfälle von wenigen Minuten von einzelnen Diensten.

Warnung vor DNS EU bzw dns-eu.net

Generische TLD

Es geht seit längerer Pause wieder die Masche um wo einem vorgemacht wird jemand möchte den gleichen „Firmennamen“ oder „Domainnamen“ nochmal registrieren. Man soll doch gleich einen 10 Jahresvertrag abschließen, dann werden die Bestrebungen des Mitbewerbers blockiert und man bekommt selbst die Domain & Rechte zugeschlagen.

Fake eMail

Problem dabei: das ist natürlich alles Fake! Also eine klassische Betrugs-eMail!
Diesen ominösen Dritten gibt es selbstverständlich gar nicht!

Die vermeintliche beliebige TLD die im Schreiben genannt wird, ist an sich noch frei (zumindest meistens noch). Dadurch kann der Eindruck entstehen, die Forderung sei begründet.
Sollten Sie an der „neuen“ TLD, in unserem Fall die .net, gar nicht interessiert sein, naja, dann können Sie das Ganze auch getrost komplett ignorieren & müssen gar nichts machen.

Beispiel eMail

Die eMail kommt in unserem Fall von:  Moritz | DNS EU <moritz@dns-eu.net>

So sieht zBsp ein Schreiben aus, das uns dieser Tage erreicht hat:

Guten Tag,
 
wir möchten Sie darüber in Kenntnis setzen, dass wir einen Registrierungsantrag für www.graz4u.net erhalten haben. Da dieser Antrag von jemandem außerhalb Ihrer Organisation eingereicht wurde, möchten wir Sie darüber informieren.
 
Wenn der Antrag fortgesetzt wird, kann dies Konsequenzen für Ihr Unternehmen haben. Dies kann zu Verwirrung bei Ihren Kunden führen, weil ein anderes Unternehmen denselben Namen verwendet, jedoch mit einer anderen Endung.
 
Deshalb bieten wir Ihnen die einmalige Gelegenheit, diesen Namen selbst zu registrieren. Wenn Sie diesem Angebot zustimmen, verlinken wir www.graz4u.net zu www.graz4u.at
 
Die Kosten für diesen Namen betragen 29,75 Euro pro Jahr. Als Markeninstanz können wir den Namen für einen Zeitraum von 10 Jahren registrieren, d. h. Sie zahlen einen einmaligen Betrag von 297,50 Euro (ohne Mehrwertsteuer). Ihr Name wird für diesen Zeitraum geschützt und registriert. Wenn Sie möchten, können Sie die Endung später um denselben Zeitraum verlängern.
 
Stimmen Sie unserem einmaligen Angebot zu? Senden Sie Ihren Firmennamen, Ihre Geschäftsadresse, Ihre Umsatzsteuer-Identifikationsnummer und Ihren Namen an diese E-Mail-Adresse. Wir lehnen den Antrag des Dritten ab und verlinken diesen Namen mit Ihrer aktuellen Website.
 
Ich freue mich auf Ihre Antwort.
 
Mit freundlichen Grüßen,
 
Moritz Gruber
DNS EU

Alternative Absender / Firmennamen

Wir haben unter anderem auch diese Absender schon gesehen:

Karl Gruber
DNS Österreich
www.dnsosterreich.com
Simon Moser
DNS Austria
www.dnsaustria.com
Jonas Koch
TM Österreich
www.tmosterreich.com
Fake Absender von anderen Betrugs eMails

Weitere verwendete Domains können sein

  • www.dednm.com
  • www.gdto.de umgeleitet auf gd-to.com
  • de-dm.de
  • dednm.net
  • dednm.de
  • dnsgermany.eu
  • dnsaustria.com
  • dnsoesterreich.com
  • dnsgermany.de
  • dnsdeutschland.com
  • dnsgermany.net
  • dnsschweiz.com
  • dnsswitzerland.com
  • idsaustria.com
  • idsgermany.com
  • idsschweiz.org
  • internetservicegermany.org
  • taddeutschland.com
  • tmdeutschland.com
  • tmosterreich.com
  • gd-to.de
  • eutd.org
  • www.idsa.at
  • dns-eu.net

Check der WebSites

Die Masche ist nicht neu. Es gibt genug ähnliche eMails und/oder WebSites die sehr ähnliche „Dienste“ anbieten.

Die Webseites siehen auf den ersten Blick zwar seriös aus. Eine genauere Untersuchung zeigt jedoch, dass es kein Impressum gibt, keinen Ansprechpartner. Anschriften sind irgendwelche gefälsche Adressen. Sie wissen daher gar nicht mit wem Sie einen Vertrag eingehen würden. Das ist ein Alarmsignal.

Es handelt sich um ein betrügerisches Unternehmen, das gar nicht existiert.

Was soll ich also weiter unternehmen?

Wenn Sie auch so eine eMail erhalten haben, würden wir raten das zu ignorieren und ganz einfach die Domain selbst zu registrieren, fertig. 😉
So haben Sie alles selbst in der Hand und müssen keine 10 Jahres Verträge abschließen, die gar nie seitens DNS EU eingehlaten werden können, weil diese Betrugsmasche irgendwann auffliegt und die Dienste dann eingestellt werden müssen.

Jede Summe die Sie den Betrügern überweisen ist verloren! Sie werden eher gar keine Gegenleistung dafür erhalten!

Wenn Sie möchten, sind wir gerne behilflich bei der Registrierung Ihrer Domains, senden Sie uns einfach eine eMail an support@graz4u.at

Preise zu Domainnamen finden Sie hier

Marken Eintragung

Zum Thema „Marken“ das im Betrugsmail angesprochen wird, kann hier gerne auf das Unternehmensportal oder das österreichische Patentamt verwiesen weren. Bei Online-Registrierung fallen zw. 280 – 360€ an, je nach Typ der Marken-Eintragung.

Zimbra Server Update – April 2022

graz4u Zimbra Server

Die beiden Zimbra Server wurden auf das aktuelle Patch-Level der Version 8.8.15 angehoben.
Dabei wurden kleine Probleme behoben und die Stabilität verbessert.

Outlook Connector

Es sollte der Outlook Connector eventuell aktualisiert werden.

Die aktuelle Connector Version finden Sie direkt bei Zimbra zum Download bereitgestellt: MS Windows Outlook Connector
Es sollte immer der Connector in der gleichen Variante wie Office installiert weren. Wir würden da grundsätzlich die 64Bit Version empfehlen, sowohl für Office als auch für den Zimbra Connector.

Ausfall von einem Server

STATUS: 20.10.2021  07:28

Seit den frühen Morgenstunden gibt es ein Problem mit einem Server, die Erreichbarkeit ist derzeit nicht durchgängig gegeben. Wir arbeiten an der Behebung des Schadens. Bis der Netzwerkverbindung wieder stabil lauft kann es noch etwas dauern.

Wir bedauern die Unannehmlichkeiten und den Ausfall!

 

UPDATE: 10:44

Alle Dienste sind wieder uneingeschränkt verfügbar.

VDisk unter Oracle VirtualBox vergrößern

Wir haben eine uralte Win-XP Installation laufen für Testzwecke, die hat eine VDisk mit 10GByte.
Diese virtuelle Platte ist nun zu klein und soll auf 20GByte verdoppelt werden. An sich geht das recht leicht mit dem Befehl: modifyhd  (bzw in neueren Versionen mit dem universelleren Commando  „modifymedium“ )

Hier ein kleiner Bericht wie wir dazu vorgegangen sind. 🙂

Zuerst mal die UUID von der Disk holen:

>  cd  "C:\Users\<username>\VirtualBox VMs\Windows XP"

> "C:\Program Files\Oracle\VirtualBox\VBoxManage" list hdds
UUID: 78d5b2b4-be2f-49b2-8778-05f875595c8d
Parent UUID: base
State: created
Type: normal (base)
Location: C:\Users\<username>\VirtualBox VMs\Windows XP\Windows XP.vdi
Storage format: VDI
Capacity: 10240 MBytes
Encryption: disabled

Mit dem Versuch diese Disk von 10GByte auf 20GByte zu vergrößern, bekommt man folgenden Fehler:

> "C:\Program Files\Oracle\VirtualBox\VBoxManage" modifymedium 78d5b2b4-be2f-49b2-8778-05f875595c8d --resize 20480
0%...
Progress state: VBOX_E_NOT_SUPPORTED
VBoxManage.exe: error: Resize medium operation for this format is not implemented yet!

Das lässt sich lösen indem man einfach diese Disk zuerst clont, dann vergrößert und dann „normalisiert“:

> "C:\Program Files\Oracle\VirtualBox\VBoxManage" clonemedium disk 78d5b2b4-be2f-49b2-8778-05f875595c8d disk_new.vdi
0%...10%...20%...30%...40%...50%...60%...70%...80%...90%...100%
Clone medium created in format 'VDI'. UUID: 0b0ef445-786f-4824-987c-6ff8701d6be5

Nun die tatsächliche Vergrößerung der VDisk, der Parameter bei resize ist die neue Größe im MByte, also 20GByte in unserem Beispiel:

> "C:\Program Files\Oracle\VirtualBox\VBoxManage" modifymedium disk disk_new.vdi --resize 20480
0%...10%...20%...30%...40%...50%...60%...70%...80%...90%...100%

Nun haben wir schon die neue Disk „disk_new.vdi“, allerdings ist sich noch nicht voll „aufgeblasen“ auf die neue Größe von 20GByte.

> dir
Datenträger in Laufwerk C: ist System
Volumeseriennummer: CE8B-D156

Verzeichnis von C:\Users\<username>\VirtualBox VMs\Windows XP

09.04.2021 13:49 <DIR> .
09.04.2021 13:49 <DIR> ..
09.04.2021 13:50 10.225.713.152 disk_new.vdi       <-- neue Disk (20G, noch nicht "aufgeblasen")
09.04.2021 11:02 <DIR> Logs
08.04.2021 12:33 <DIR> Snapshots
09.04.2021 13:49 7.110 Windows XP.vbox
09.04.2021 13:34 7.110 Windows XP.vbox-prev
09.04.2021 13:45 10.739.515.392 Windows XP.vdi    <-- alte Disk (10G)

eventuell kann der folgende Schritt entfallen, ich hab es aber so versucht und hat gut funktioniert. Der Prozess hat hier recht lange gedauert, nach den ersten 10% ging es dann schneller:

"C:\Program Files\Oracle\VirtualBox\VBoxManage" clonemedium disk disk_new.vdi disk_20G.vdi --variant Fixed
0%...10%...20%...30%...40%...50%...60%...70%...80%...90%...100%
Clone medium created in format 'VDI'. UUID: 7f8db0cb-9e62-41b6-8236-c6a6ed1121b7

Nun muss man in der VirtuelBox Konfig der VM die neue 20G Disk statt der alten 10G auswählen.

In nächsten Schritt dann das Tool gparted herunterladen, das ISO als Boot-CD in der VM einbinden und das Filesystem der Disk vergrößern. Wenn alles erledigt ist und die CD wieder ejecten und die VM normal booten.
Das wirklich super Tool gibts hier:  https://gparted.org/

Nun startet grundsätzlich Windows wieder, meldet jedoch eventuell eine defekte Platte und will einen DiskCheck machen. Das passt gut.

Hier sieht man leider noch nicht die neue Größe angedruckt.

Die Überprüfung im Explorer zeigt aber dann doch gleich den Erfolg  🙂

Thunderbird Verbindungsprobleme

UPDATE / INFO:  Dieser Artikel trifft auf die graz4u eMail Server nicht mehr zu. Es sind keine Anpassungen mehr notwendig!

Es gibt ein Problem mit SSL/TLS nach dem Update auf Thunderbird 78 und höher.

Das liegt an einigen Einstellungen die nun anders gesetzt sind. Diese Einstellungen sind „normal“ nicht zu sehen. Erst im „Erweiterten Konfigurations-Modus“ sind diese Details sichtbar, und können auch verändert werden.

Aber Vorsicht!
Wenn man in dem Modus etwas falsch macht, kann es zu ernsthaften Problemen kommen!
Wir übernehmen absolut keine Verantwortung bei falscher Handhabung.
Sie sind für alle Änderungen selbst verantwortlich.
Das ist lediglich eine Hilfestellung wie Sie vorgehen können.
Mit dieser Abfolge stellen Sie wieder das vorige Sicherheitsniveau her, dadurch ist auch wieder TLS1.0 erlaubt.
Fragen Sie ev bei Ihrem Administrator nach ob das in Ordnung ist.

Technischer Hintergrund:
Wenn ein Server nur TLS 1.0 unterstützt können die neuen Browser Firefox, Chrome & Edge; sowie auch Thunderbird bei eMail keine Verbindung mehr aufbauen. Das liegt daran, dass das Security-Setting angehoben wurde und TLS 1.0 nicht mehr unterstützt wird.
Zumindest im original Auslieferungszustand der jeweilgen Software.
Auf eigene Gefahr hin kann das aber wieder heruntergesetzt werden.
Weil:
TLS 1.0 gilt inzwischen als „nicht mehr sicher“. Damit ist die Stärke und Qualität der Verschlüsselung gemeint. Verschlüsselt ist die Verbindung aber dennoch. Kann aber von bösartigen Personen leichter geknackt werden.

Hier die Abfolge die gemacht werden kann:

  1. Einstellungen öffnen unter: Extras | Einstellungen.
    Dann unter „Allgemein“ ganz runter scrollen und „Konfiguration bearbeiten“ klicken
  2. Es wird nun eine Warnung angezeigt. Wenn Sie sich sicher sind und sich das zutrauen, klicken Sie auf „Ich bin mir der Gefahren bewusst!“
    ACHTUNG: wir übernehmen KEINE Haftung! Sie sind selbst verantwortlich für die Änderungen!
    Thunderbird, erweiterte Einstellungen. WARNUNG
  3. Geben Sie in der Suchzeile ein:  security.tls.version
    Sie sollten ca so eine Auflistung erhalten
    Thunderbird, erweiterte Einstellungen. SUCHE TLS
  4. Doppelklick auf die Zeile mit dem Key:  security.tls.version.min
    Eingabe im Dialog vom Wert:  1
    Bestätigen mit „OK“
    Thunderbird, erweiterte Einstellungen. TLS Version Min = 1
  5. Doppelklick auf die Zeile mit dem Key: security.tls.version.enable-deprecated
    Es springt der Wert dann um auf: true
  6. Fertig!

Es sollte sich nun Thunderbird wieder mit dem Mail-Server verbinden können.

Verwandter Artikel: Firefox Verbindungsprobleme

Windows 7 – das Ende naht!

Microsoft wird mit 14. Jänner 2020 den Support für Windows 7 komplett einstellen! Somit ist Win7 End-Of-Life!

Damit gibt es auch keine Updates mehr für kritische Sicherheitslücken oder sonstige möglichen Probleme. Für Hacker also ein gefundenes Fressen nun auf Windows 7 Rechner los zu gehen.

Microsoft warnt und informiert seit Monaten zu dem Ende vom Support für Windows 7 — jetzt ist es eben dann bald so weit und Microsoft macht Ernst!

Obwohl schon seit längerem bei jedem Login & Reboot Info-Dialoge angezeigt werden und zum Umstieg auf Windows 10 gedrängt wird, sind dem nur sehr wenige Firmen gefolgt. Ein Umstieg auf Windows 10 wird dringend angeraten.
Es wird Windows 7 zwar nicht funktionsuntüchig oder in der Verwendung beschnitten, aber es wird ab Mitte Jänner immer unsicherer damit noch zu arbeiten!

Hier der Link zu Microsoft mit der Ankündigung:
Windows 7 Support endet am 14. Jänner 2020 / windows 7 support will end on january 14 2020

Es gibt grundsätzlich drei Arten zu reagieren:

  • gar nichts tun und einfach abwarten, das Risiko in Kauf nehmen
  • auf Windows 10 umsteigen  (dieser Umstieg ist kostenlos möglich)
  • auf Linux umsteigen

Wenn Informationen oder Hilfe brauchen für den Umstieg oder einen Test von einem Linux-Desktop, wir helfen gerne weiter! Schreiben Sie uns eine eMail!