Thread Info
  • State Not Answered
  • Replies 18 replies
  • Subscribers 0 subscribers
  • Views 6697 views
  • Users 0 members are here
Options
Suggested

[7.450][BUG][NOTABUG] New SSL VPN doesn't work

BAlfson 
Sat May 30 15:58:34 2009 OpenVPN 2.1_rc15 i686-pc-cygwin [SSL] [LZO2] built on May 11 2009

Sat May 30 15:59:02 2009 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).

Sat May 30 15:59:02 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables

Sat May 30 15:59:03 2009 LZO compression initialized

Sat May 30 15:59:03 2009 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]

Sat May 30 15:59:03 2009 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]

Sat May 30 15:59:03 2009 Local Options hash (VER=V4): '619088b2'

Sat May 30 15:59:03 2009 Expected Remote Options hash (VER=V4): 'a4f12474'

Sat May 30 15:59:03 2009 Attempting to establish TCP connection with x.x.x.x:443

Sat May 30 15:59:03 2009 TCP connection established with x.x.x.x:443

Sat May 30 15:59:03 2009 Socket Buffers: R=[8192->8192] S=[8192->8192]

Sat May 30 15:59:03 2009 TCPv4_CLIENT link local: [undef]

Sat May 30 15:59:03 2009 TCPv4_CLIENT link remote: x.x.x.x:443

Sat May 30 15:59:03 2009 TLS: Initial packet from x.x.x.x:443, sid=285a0ca3 0fd1c404

Sat May 30 15:59:03 2009 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

Sat May 30 15:59:03 2009 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: /C=us/L=Oklahoma_CIty/O=Company__Inc._-Test/emailAddress=astaro@MyCompanyName.com

Sat May 30 15:59:03 2009 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Sat May 30 15:59:03 2009 TLS Error: TLS object -> incoming plaintext read error

Sat May 30 15:59:03 2009 TLS Error: TLS handshake failed

Sat May 30 15:59:03 2009 Fatal TLS error (check_tls_errors_co), restarting

Sat May 30 15:59:03 2009 TCP/UDP: Closing socket

I'm a local administrator on my laptop.

ASG220v1 512MB
Vista Pro SP1
IE 7.0.6001.18000

Cheers - Bob
Parents
  • 0
    Hi Bob, 
    how does your SSL-VPN configuratio look like?

    Did you use the old client or did you download and install the new one?
    Was the old client installed during the installation of the new one?

    thx Gert
  • 0 in reply to Gert Hansen
    Uninstalled the other Astaro SSL Client.

    Installed the complete new client and files from the EUP.
  • 0 in reply to widearea
    Bingo!

    Angelo, I think you've been doing this awhile...

    Cheers - Bob
    PS I still can't get this to work because I found another bug - I'm not allowed to delete the Local X509 Cert even though I took it out of use.
  • 0 in reply to BAlfson
    Still can't connect. 

    VERIFY ERROR: could not extract Common Name from X509 subject string ('/C=us/ST=OK/L=Oklahoma_CIty/O=MediaSoft__Inc./emailAddress=test@MyCompany.com') -- note that the Common Name length is limited to 64 characters


    Now, I'm really confused.  There isn't even an option to include a CN.  Let's see if getting rid of most of the DN will let it work...

    Cheers - Bob
  • 0 in reply to BAlfson
    That wasn't the problem. 
    VERIFY OK: depth=1, /C=us/L=Oklahoma_CIty/O=MediaSoft__Inc._-Test/emailAddress=test@MyCompany.com

    VERIFY ERROR: could not extract Common Name from X509 subject string ('/C=us/emailAddress=test@MyCompany.com') -- note that the Common Name length is limited to 64 characters

    What am I missing?

    Cheers - Bob
    PS I even went back, deleted then downloaded the complete package.
  • 0 in reply to BAlfson
    Hi Bob,

    I haven't personally been involved in any cases where this is a symptom.  I often find that it's best to take a step back when issues like this arise.  

    > We know that you have already uninstalled the previous version.  

    > We know that you have downloaded the complete openVPN package more than once (this means that it should be able to be replicated using the same package).

    > We know that there seems to be a verification error with the CN field of the openVPN config.

    Things that we can try: 

    can you verify that all directories and registry entries related to openvpn (also search "astaro) are removed?

    can you have a trusted peer (or you) attempt to sign into the VPN using your credentials (and a different PC)?  This should let us know if it is an environment parameter that is causing any issues, rather than the package itself.

    can you view/export the certificate(s)?  Are there any CN fields longer than 64 bits or empty?

    I am sorry, but a quick google search didn't yield anything - I can dig a little more later.
  • 0 in reply to Tim_Astaro
    Office desktop: Win XP SP2 - IE 7.0.5730.13

    No SSLVPN Client in existence.  No Astaro directory in Program Files

    Identical Error: 
    WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

    VERIFY OK: depth=1, /C=us/L=Oklahoma_CIty/O=MyCompany__Inc._-Test/emailAddress=test@MyCompany.com

    VERIFY ERROR: could not extract Common Name from X509 subject string ('/C=us/emailAddress=test@MyCompany.com') -- note that the Common Name length is limited to 64 characters

    TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

    TLS Error: TLS object -> incoming plaintext read error

    TLS Error: TLS handshake failed

    Fatal TLS error (check_tls_errors_co), restarting

    TCP/UDP: Closing socket

    I don't think I filled in all of the fields when I gen'ed the cert, so I'll try that later.   I don't think I've had to do that before.
  • 0 in reply to BAlfson
    This issue was resolved once the host name was correct and the cert was gen'ed with all fields completed.

    I will change he title to reflect this.

    Thanks - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    Glad to hear that.  Which hostname was changed, the one under management > system settings > hostname or the one under remote access > ssl > advanced?
  • 0 in reply to Tim_Astaro
    The one under SSL as I had prviously changed the one under System Settings.  It is possible that this would have worked without that change had I simply filled in the fields in the Cert the first time I gen'ed it.  You think?

    Cheers - Bob
  • 0 in reply to BAlfson
    ...things are rocking here!

    Mac OSX 10.5.7
  • 0 in reply to Flat Bush 
    Astaro Beta Report
    --------------------------------
    Version: 7.450
    Type: BUG
    State: NOTABUG
    Reporter: BAlfson
    Contributor: 
    MantisID: 
    --------------------------------

Reply Children
No Data