[7.450][BUG][NOTABUG] New SSL VPN doesn't work

Hi Bob, 
how does your SSL-VPN configuratio look like?

Did you use the old client or did you download and install the new one?
Was the old client installed during the installation of the new one?

thx Gert

Uninstalled the other Astaro SSL Client.

Installed the complete new client and files from the EUP.

I tested the new ssl vpn client, it works fine on windows 7 rc1. This is a fresh install (downloaded via EUP), I just had to run as administrator so that "route add" was possible.

---------------------------------------------

Mon Jun 01 14:38:47 2009 OpenVPN 2.1_rc15 i686-pc-cygwin [SSL] [LZO2] built on May 11 2009
Mon Jun 01 14:38:53 2009 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
Mon Jun 01 14:38:53 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Jun 01 14:38:53 2009 LZO compression initialized
Mon Jun 01 14:38:53 2009 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
Mon Jun 01 14:38:53 2009 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Jun 01 14:38:53 2009 Local Options hash (VER=V4): '619088b2'
Mon Jun 01 14:38:53 2009 Expected Remote Options hash (VER=V4): 'a4f12474'
Mon Jun 01 14:38:53 2009 Attempting to establish TCP connection with *.*.*.*:443
Mon Jun 01 14:38:53 2009 TCP connection established with *.*.*.*:443
Mon Jun 01 14:38:53 2009 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Jun 01 14:38:53 2009 TCPv4_CLIENT link local: [undef]
Mon Jun 01 14:38:53 2009 TCPv4_CLIENT link remote: *.*.*.*:443
Mon Jun 01 14:38:53 2009 TLS: Initial packet from *.*.*.*:443, sid=6f488b81 ca4c4cb8
Mon Jun 01 14:38:53 2009 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Mon Jun 01 14:38:53 2009 VERIFY OK: depth=1, /C=sg/
Mon Jun 01 14:38:53 2009 VERIFY X509NAME OK: /C=sg/
Mon Jun 01 14:38:53 2009 VERIFY OK: depth=0, /C=sg/
Mon Jun 01 14:38:55 2009 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Mon Jun 01 14:38:55 2009 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
Mon Jun 01 14:38:55 2009 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Mon Jun 01 14:38:55 2009 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
Mon Jun 01 14:38:55 2009 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Jun 01 14:38:55 2009 [sym.*.*] Peer Connection Initiated with *.*.*.*:443
Mon Jun 01 14:38:56 2009 SENT CONTROL [*.*.com]: 'PUSH_REQUEST' (status=1)
Mon Jun 01 14:38:57 2009 PUSH: Received control message: 'PUSH_REPLY,ifconfig 10.242.2.6 10.242.2.5,ping-restart 120,ping 10,topology net30,route 10.242.2.1,route 192.168.*.* 255.255.*.*'
Mon Jun 01 14:38:57 2009 OPTIONS IMPORT: timers and/or timeouts modified
Mon Jun 01 14:38:57 2009 OPTIONS IMPORT: --ifconfig/up options modified
Mon Jun 01 14:38:57 2009 OPTIONS IMPORT: route options modified
Mon Jun 01 14:38:57 2009 ROUTE default_gateway=192.168.*.*
Mon Jun 01 14:38:57 2009 TAP-WIN32 device [Local Area Connection 2] opened: \.\Global\{00130B29-764F-4CFB-9131-0518AAA4B3D9}.tap
Mon Jun 01 14:38:57 2009 TAP-Win32 Driver Version 9.4 
Mon Jun 01 14:38:57 2009 TAP-Win32 MTU=1500
Mon Jun 01 14:38:57 2009 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.242.2.6/255.255.255.252 on interface {00130B29-764F-4CFB-9131-0518AAA4B3D9} [DHCP-serv: 10.242.2.5, lease-time: 31536000]
Mon Jun 01 14:38:57 2009 Successful ARP Flush on interface [21] {00130B29-764F-4CFB-9131-0518AAA4B3D9}
Mon Jun 01 14:39:02 2009 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Mon Jun 01 14:39:02 2009 C:\WINDOWS\system32\route.exe ADD 192.168.*.* MASK 255.255.*.* 10.242.2.5
Mon Jun 01 14:39:02 2009 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Mon Jun 01 14:39:02 2009 Route addition via IPAPI succeeded [adaptive]
Mon Jun 01 14:39:02 2009 C:\WINDOWS\system32\route.exe ADD 10.242.2.1 MASK 255.255.255.255 10.242.2.5
Mon Jun 01 14:39:02 2009 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Mon Jun 01 14:39:02 2009 Route addition via IPAPI succeeded [adaptive]
Mon Jun 01 14:39:02 2009 Initialization Sequence Completed

the new client seems to work fine for me under Windows 7 X64, i didnt have the old client installed on the workstation i used however..maybe leftover issues from uninstall? maybe with the tap adapter.?

So, Angelo, can you see anything in my original post above that might give me a clue to fix my problem or determine that there's a bug?

Cheers - Bob

Just noticed "VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: /C=us/L=Oklahoma_CIty/O=Company__Inc._-Test/emailAddress=astaro@MyCompanyName.com"

But, I have what appears to be a valid Cert

Local X509 Cert  
VPNId [Hostname] test******.dyndns.org 
Valid from May 3 20:17:12 2009 GMT through Sep 17 20:17:17 2036 
Fingerprint 90:8D[[[:D]]]9:F6:86:AF:65:02:A4:FA:34:77:A2:90:E6:05[[[:D]]]3[[[:D]]]6:21:67

Cheers - Bob

you dont have anything in the hostname override do you?

I couldn't get it to work until I ticked off the create users automatically in authetication.

Bingo!

Angelo, I think you've been doing this awhile...

Cheers - Bob
PS I still can't get this to work because I found another bug - I'm not allowed to delete the Local X509 Cert even though I took it out of use.

Still can't connect.

VERIFY ERROR: could not extract Common Name from X509 subject string ('/C=us/ST=OK/L=Oklahoma_CIty/O=MediaSoft__Inc./emailAddress=test@MyCompany.com') -- note that the Common Name length is limited to 64 characters

Now, I'm really confused.  There isn't even an option to include a CN.  Let's see if getting rid of most of the DN will let it work...

Cheers - Bob

That wasn't the problem.

VERIFY OK: depth=1, /C=us/L=Oklahoma_CIty/O=MediaSoft__Inc._-Test/emailAddress=test@MyCompany.com

VERIFY ERROR: could not extract Common Name from X509 subject string ('/C=us/emailAddress=test@MyCompany.com') -- note that the Common Name length is limited to 64 characters

What am I missing?

Cheers - Bob
PS I even went back, deleted then downloaded the complete package.

That wasn't the problem.

VERIFY OK: depth=1, /C=us/L=Oklahoma_CIty/O=MediaSoft__Inc._-Test/emailAddress=test@MyCompany.com

VERIFY ERROR: could not extract Common Name from X509 subject string ('/C=us/emailAddress=test@MyCompany.com') -- note that the Common Name length is limited to 64 characters

What am I missing?

Cheers - Bob
PS I even went back, deleted then downloaded the complete package.

Hi Bob,

I haven't personally been involved in any cases where this is a symptom.  I often find that it's best to take a step back when issues like this arise.  

> We know that you have already uninstalled the previous version.  

> We know that you have downloaded the complete openVPN package more than once (this means that it should be able to be replicated using the same package).

> We know that there seems to be a verification error with the CN field of the openVPN config.

Things that we can try: 

can you verify that all directories and registry entries related to openvpn (also search "astaro) are removed?

can you have a trusted peer (or you) attempt to sign into the VPN using your credentials (and a different PC)?  This should let us know if it is an environment parameter that is causing any issues, rather than the package itself.

can you view/export the certificate(s)?  Are there any CN fields longer than 64 bits or empty?

I am sorry, but a quick google search didn't yield anything - I can dig a little more later.

Office desktop: Win XP SP2 - IE 7.0.5730.13

No SSLVPN Client in existence.  No Astaro directory in Program Files

Identical Error:

WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

VERIFY OK: depth=1, /C=us/L=Oklahoma_CIty/O=MyCompany__Inc._-Test/emailAddress=test@MyCompany.com

VERIFY ERROR: could not extract Common Name from X509 subject string ('/C=us/emailAddress=test@MyCompany.com') -- note that the Common Name length is limited to 64 characters

TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

TLS Error: TLS object -> incoming plaintext read error

TLS Error: TLS handshake failed

Fatal TLS error (check_tls_errors_co), restarting

TCP/UDP: Closing socket

I don't think I filled in all of the fields when I gen'ed the cert, so I'll try that later.   I don't think I've had to do that before.

This issue was resolved once the host name was correct and the cert was gen'ed with all fields completed.

I will change he title to reflect this.

Thanks - Bob

Hi Bob,

Glad to hear that.  Which hostname was changed, the one under management > system settings > hostname or the one under remote access > ssl > advanced?

The one under SSL as I had prviously changed the one under System Settings.  It is possible that this would have worked without that change had I simply filled in the fields in the Cert the first time I gen'ed it.  You think?

Cheers - Bob

...things are rocking here!

Mac OSX 10.5.7