Thread Info
  • State Not Answered
  • Replies 18 replies
  • Subscribers 0 subscribers
  • Views 6708 views
  • Users 0 members are here
Options
Suggested

[7.450][BUG][NOTABUG] New SSL VPN doesn't work

BAlfson 
Sat May 30 15:58:34 2009 OpenVPN 2.1_rc15 i686-pc-cygwin [SSL] [LZO2] built on May 11 2009

Sat May 30 15:59:02 2009 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).

Sat May 30 15:59:02 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables

Sat May 30 15:59:03 2009 LZO compression initialized

Sat May 30 15:59:03 2009 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]

Sat May 30 15:59:03 2009 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]

Sat May 30 15:59:03 2009 Local Options hash (VER=V4): '619088b2'

Sat May 30 15:59:03 2009 Expected Remote Options hash (VER=V4): 'a4f12474'

Sat May 30 15:59:03 2009 Attempting to establish TCP connection with x.x.x.x:443

Sat May 30 15:59:03 2009 TCP connection established with x.x.x.x:443

Sat May 30 15:59:03 2009 Socket Buffers: R=[8192->8192] S=[8192->8192]

Sat May 30 15:59:03 2009 TCPv4_CLIENT link local: [undef]

Sat May 30 15:59:03 2009 TCPv4_CLIENT link remote: x.x.x.x:443

Sat May 30 15:59:03 2009 TLS: Initial packet from x.x.x.x:443, sid=285a0ca3 0fd1c404

Sat May 30 15:59:03 2009 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

Sat May 30 15:59:03 2009 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: /C=us/L=Oklahoma_CIty/O=Company__Inc._-Test/emailAddress=astaro@MyCompanyName.com

Sat May 30 15:59:03 2009 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Sat May 30 15:59:03 2009 TLS Error: TLS object -> incoming plaintext read error

Sat May 30 15:59:03 2009 TLS Error: TLS handshake failed

Sat May 30 15:59:03 2009 Fatal TLS error (check_tls_errors_co), restarting

Sat May 30 15:59:03 2009 TCP/UDP: Closing socket

I'm a local administrator on my laptop.

ASG220v1 512MB
Vista Pro SP1
IE 7.0.6001.18000

Cheers - Bob
Parents Reply Children
  • 0 in reply to BAlfson
    I tested the new ssl vpn client, it works fine on windows 7 rc1. This is a fresh install (downloaded via EUP), I just had to run as administrator so that "route add" was possible.

    ---------------------------------------------

    Mon Jun 01 14:38:47 2009 OpenVPN 2.1_rc15 i686-pc-cygwin [SSL] [LZO2] built on May 11 2009
    Mon Jun 01 14:38:53 2009 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Mon Jun 01 14:38:53 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Mon Jun 01 14:38:53 2009 LZO compression initialized
    Mon Jun 01 14:38:53 2009 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
    Mon Jun 01 14:38:53 2009 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
    Mon Jun 01 14:38:53 2009 Local Options hash (VER=V4): '619088b2'
    Mon Jun 01 14:38:53 2009 Expected Remote Options hash (VER=V4): 'a4f12474'
    Mon Jun 01 14:38:53 2009 Attempting to establish TCP connection with *.*.*.*:443
    Mon Jun 01 14:38:53 2009 TCP connection established with *.*.*.*:443
    Mon Jun 01 14:38:53 2009 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Mon Jun 01 14:38:53 2009 TCPv4_CLIENT link local: [undef]
    Mon Jun 01 14:38:53 2009 TCPv4_CLIENT link remote: *.*.*.*:443
    Mon Jun 01 14:38:53 2009 TLS: Initial packet from *.*.*.*:443, sid=6f488b81 ca4c4cb8
    Mon Jun 01 14:38:53 2009 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Mon Jun 01 14:38:53 2009 VERIFY OK: depth=1, /C=sg/
    Mon Jun 01 14:38:53 2009 VERIFY X509NAME OK: /C=sg/
    Mon Jun 01 14:38:53 2009 VERIFY OK: depth=0, /C=sg/
    Mon Jun 01 14:38:55 2009 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    Mon Jun 01 14:38:55 2009 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    Mon Jun 01 14:38:55 2009 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    Mon Jun 01 14:38:55 2009 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    Mon Jun 01 14:38:55 2009 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    Mon Jun 01 14:38:55 2009 [sym.*.*] Peer Connection Initiated with *.*.*.*:443
    Mon Jun 01 14:38:56 2009 SENT CONTROL [*.*.com]: 'PUSH_REQUEST' (status=1)
    Mon Jun 01 14:38:57 2009 PUSH: Received control message: 'PUSH_REPLY,ifconfig 10.242.2.6 10.242.2.5,ping-restart 120,ping 10,topology net30,route 10.242.2.1,route 192.168.*.* 255.255.*.*'
    Mon Jun 01 14:38:57 2009 OPTIONS IMPORT: timers and/or timeouts modified
    Mon Jun 01 14:38:57 2009 OPTIONS IMPORT: --ifconfig/up options modified
    Mon Jun 01 14:38:57 2009 OPTIONS IMPORT: route options modified
    Mon Jun 01 14:38:57 2009 ROUTE default_gateway=192.168.*.*
    Mon Jun 01 14:38:57 2009 TAP-WIN32 device [Local Area Connection 2] opened: \.\Global\{00130B29-764F-4CFB-9131-0518AAA4B3D9}.tap
    Mon Jun 01 14:38:57 2009 TAP-Win32 Driver Version 9.4 
    Mon Jun 01 14:38:57 2009 TAP-Win32 MTU=1500
    Mon Jun 01 14:38:57 2009 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.242.2.6/255.255.255.252 on interface {00130B29-764F-4CFB-9131-0518AAA4B3D9} [DHCP-serv: 10.242.2.5, lease-time: 31536000]
    Mon Jun 01 14:38:57 2009 Successful ARP Flush on interface [21] {00130B29-764F-4CFB-9131-0518AAA4B3D9}
    Mon Jun 01 14:39:02 2009 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
    Mon Jun 01 14:39:02 2009 C:\WINDOWS\system32\route.exe ADD 192.168.*.* MASK 255.255.*.* 10.242.2.5
    Mon Jun 01 14:39:02 2009 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
    Mon Jun 01 14:39:02 2009 Route addition via IPAPI succeeded [adaptive]
    Mon Jun 01 14:39:02 2009 C:\WINDOWS\system32\route.exe ADD 10.242.2.1 MASK 255.255.255.255 10.242.2.5
    Mon Jun 01 14:39:02 2009 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
    Mon Jun 01 14:39:02 2009 Route addition via IPAPI succeeded [adaptive]
    Mon Jun 01 14:39:02 2009 Initialization Sequence Completed
  • 0 in reply to dmzalarm
    the new client seems to work fine for me under Windows 7 X64, i didnt have the old client installed on the workstation i used however..maybe leftover issues from uninstall? maybe with the tap adapter.?
  • 0 in reply to AngeloC
    So, Angelo, can you see anything in my original post above that might give me a clue to fix my problem or determine that there's a bug?

    Cheers - Bob
  • 0 in reply to BAlfson
    Just noticed "VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: /C=us/L=Oklahoma_CIty/O=Company__Inc._-Test/emailAddress=astaro@MyCompanyName.com"

    But, I have what appears to be a valid Cert
    Local X509 Cert  
    VPNId [Hostname] test******.dyndns.org 
    Valid from May 3 20:17:12 2009 GMT through Sep 17 20:17:17 2036 
    Fingerprint 90:8D[[[:D]]]9:F6:86:AF:65:02:A4:FA:34:77:A2:90:E6:05[[[:D]]]3[[[:D]]]6:21:67

    Cheers - Bob
  • 0 in reply to BAlfson
    you dont have anything in the hostname override do you?
  • 0 in reply to AngeloC
    I couldn't get it to work until I ticked off the create users automatically in authetication.
  • 0 in reply to widearea
    Bingo!

    Angelo, I think you've been doing this awhile...

    Cheers - Bob
    PS I still can't get this to work because I found another bug - I'm not allowed to delete the Local X509 Cert even though I took it out of use.
  • 0 in reply to BAlfson
    Still can't connect. 

    VERIFY ERROR: could not extract Common Name from X509 subject string ('/C=us/ST=OK/L=Oklahoma_CIty/O=MediaSoft__Inc./emailAddress=test@MyCompany.com') -- note that the Common Name length is limited to 64 characters


    Now, I'm really confused.  There isn't even an option to include a CN.  Let's see if getting rid of most of the DN will let it work...

    Cheers - Bob
  • 0 in reply to BAlfson
    That wasn't the problem. 
    VERIFY OK: depth=1, /C=us/L=Oklahoma_CIty/O=MediaSoft__Inc._-Test/emailAddress=test@MyCompany.com

    VERIFY ERROR: could not extract Common Name from X509 subject string ('/C=us/emailAddress=test@MyCompany.com') -- note that the Common Name length is limited to 64 characters

    What am I missing?

    Cheers - Bob
    PS I even went back, deleted then downloaded the complete package.
  • 0 in reply to BAlfson
    Hi Bob,

    I haven't personally been involved in any cases where this is a symptom.  I often find that it's best to take a step back when issues like this arise.  

    > We know that you have already uninstalled the previous version.  

    > We know that you have downloaded the complete openVPN package more than once (this means that it should be able to be replicated using the same package).

    > We know that there seems to be a verification error with the CN field of the openVPN config.

    Things that we can try: 

    can you verify that all directories and registry entries related to openvpn (also search "astaro) are removed?

    can you have a trusted peer (or you) attempt to sign into the VPN using your credentials (and a different PC)?  This should let us know if it is an environment parameter that is causing any issues, rather than the package itself.

    can you view/export the certificate(s)?  Are there any CN fields longer than 64 bits or empty?

    I am sorry, but a quick google search didn't yield anything - I can dig a little more later.