Thread Info
  • State Not Answered
  • Replies 18 replies
  • Subscribers 0 subscribers
  • Views 6707 views
  • Users 0 members are here
Options
Suggested

[7.450][BUG][NOTABUG] New SSL VPN doesn't work

BAlfson 
Sat May 30 15:58:34 2009 OpenVPN 2.1_rc15 i686-pc-cygwin [SSL] [LZO2] built on May 11 2009

Sat May 30 15:59:02 2009 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).

Sat May 30 15:59:02 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables

Sat May 30 15:59:03 2009 LZO compression initialized

Sat May 30 15:59:03 2009 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]

Sat May 30 15:59:03 2009 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]

Sat May 30 15:59:03 2009 Local Options hash (VER=V4): '619088b2'

Sat May 30 15:59:03 2009 Expected Remote Options hash (VER=V4): 'a4f12474'

Sat May 30 15:59:03 2009 Attempting to establish TCP connection with x.x.x.x:443

Sat May 30 15:59:03 2009 TCP connection established with x.x.x.x:443

Sat May 30 15:59:03 2009 Socket Buffers: R=[8192->8192] S=[8192->8192]

Sat May 30 15:59:03 2009 TCPv4_CLIENT link local: [undef]

Sat May 30 15:59:03 2009 TCPv4_CLIENT link remote: x.x.x.x:443

Sat May 30 15:59:03 2009 TLS: Initial packet from x.x.x.x:443, sid=285a0ca3 0fd1c404

Sat May 30 15:59:03 2009 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

Sat May 30 15:59:03 2009 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: /C=us/L=Oklahoma_CIty/O=Company__Inc._-Test/emailAddress=astaro@MyCompanyName.com

Sat May 30 15:59:03 2009 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Sat May 30 15:59:03 2009 TLS Error: TLS object -> incoming plaintext read error

Sat May 30 15:59:03 2009 TLS Error: TLS handshake failed

Sat May 30 15:59:03 2009 Fatal TLS error (check_tls_errors_co), restarting

Sat May 30 15:59:03 2009 TCP/UDP: Closing socket

I'm a local administrator on my laptop.

ASG220v1 512MB
Vista Pro SP1
IE 7.0.6001.18000

Cheers - Bob
  • 0 in reply to BAlfson
    That wasn't the problem. 
    VERIFY OK: depth=1, /C=us/L=Oklahoma_CIty/O=MediaSoft__Inc._-Test/emailAddress=test@MyCompany.com

    VERIFY ERROR: could not extract Common Name from X509 subject string ('/C=us/emailAddress=test@MyCompany.com') -- note that the Common Name length is limited to 64 characters

    What am I missing?

    Cheers - Bob
    PS I even went back, deleted then downloaded the complete package.
  • 0 in reply to BAlfson
    Hi Bob,

    I haven't personally been involved in any cases where this is a symptom.  I often find that it's best to take a step back when issues like this arise.  

    > We know that you have already uninstalled the previous version.  

    > We know that you have downloaded the complete openVPN package more than once (this means that it should be able to be replicated using the same package).

    > We know that there seems to be a verification error with the CN field of the openVPN config.

    Things that we can try: 

    can you verify that all directories and registry entries related to openvpn (also search "astaro) are removed?

    can you have a trusted peer (or you) attempt to sign into the VPN using your credentials (and a different PC)?  This should let us know if it is an environment parameter that is causing any issues, rather than the package itself.

    can you view/export the certificate(s)?  Are there any CN fields longer than 64 bits or empty?

    I am sorry, but a quick google search didn't yield anything - I can dig a little more later.
  • 0 in reply to Tim_Astaro
    Office desktop: Win XP SP2 - IE 7.0.5730.13

    No SSLVPN Client in existence.  No Astaro directory in Program Files

    Identical Error: 
    WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

    VERIFY OK: depth=1, /C=us/L=Oklahoma_CIty/O=MyCompany__Inc._-Test/emailAddress=test@MyCompany.com

    VERIFY ERROR: could not extract Common Name from X509 subject string ('/C=us/emailAddress=test@MyCompany.com') -- note that the Common Name length is limited to 64 characters

    TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

    TLS Error: TLS object -> incoming plaintext read error

    TLS Error: TLS handshake failed

    Fatal TLS error (check_tls_errors_co), restarting

    TCP/UDP: Closing socket

    I don't think I filled in all of the fields when I gen'ed the cert, so I'll try that later.   I don't think I've had to do that before.
  • 0 in reply to BAlfson
    This issue was resolved once the host name was correct and the cert was gen'ed with all fields completed.

    I will change he title to reflect this.

    Thanks - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    Glad to hear that.  Which hostname was changed, the one under management > system settings > hostname or the one under remote access > ssl > advanced?
  • 0 in reply to Tim_Astaro
    The one under SSL as I had prviously changed the one under System Settings.  It is possible that this would have worked without that change had I simply filled in the fields in the Cert the first time I gen'ed it.  You think?

    Cheers - Bob
  • 0 in reply to BAlfson
    ...things are rocking here!

    Mac OSX 10.5.7
  • 0 in reply to Flat Bush 
    Astaro Beta Report
    --------------------------------
    Version: 7.450
    Type: BUG
    State: NOTABUG
    Reporter: BAlfson
    Contributor: 
    MantisID: 
    --------------------------------