Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 3 replies
  • Subscribers 0 subscribers
  • Views 1516 views
  • Users 0 members are here
Options
Suggested

[9.000][MYTH] New OpenVPN Client doesn't work with ISA Authentication

dpentzlin
Hi,

We have an ISA Proxy Server with Authentication. With the old VPN Client it is working well (Astaro 1.7). (Options -> Manual Proxy -> Requires Auth....).

If i connect with the Astaro VPN Client it will ask first for Proxy Auth and after that for Astaro Auth.

With the new Sophos 2.0 VPN Client there is no checkbox that the Proxy requires auth. But it will ask for Proxy credentials and after that for Astaro credentials like the version before. but after successful connect it will disconnect immediately with "proxy requires auth..." failure.

I reinstalled the old VPN client and it works well again with UTM9.

I cant provide logs anymore because clients are already reinstalled and i forgot to save them.

Greets
Parents
  • 0

    With the new Sophos 2.0 VPN Client there is no checkbox that the Proxy requires auth. But it will ask for Proxy credentials and after that for Astaro credentials like the version before. but after successful connect it will disconnect immediately with "proxy requires auth..." failure.


    Whether the proxy requires auth or not is now detected automatically.


    I cant provide logs anymore because clients are already reinstalled and i forgot to save them.


    Is there a chance you install a V9 client again? Without any log it's going to be hard to find out what is wrong here.
  • 0 in reply to d12fk
    with Sophos 9.x VPN

    Tue Jul 10 11:25:20 2012 OpenVPN 2.1.1 i686-w64-mingw32 [SSL] [LZO2] built on Jun 21 2012
    Tue Jul 10 11:25:20 2012 MANAGEMENT: TCP Socket listening on 127.0.0.10:25340
    Tue Jul 10 11:25:20 2012 Need hold release from management interface, waiting...
    Tue Jul 10 11:25:21 2012 MANAGEMENT: Client connected from 127.0.0.10:25340
    Tue Jul 10 11:25:21 2012 MANAGEMENT: CMD 'state on'
    Tue Jul 10 11:25:21 2012 MANAGEMENT: CMD 'log all on'
    Tue Jul 10 11:25:21 2012 MANAGEMENT: CMD 'hold off'
    Tue Jul 10 11:25:21 2012 MANAGEMENT: CMD 'hold release'
    Tue Jul 10 11:25:26 2012 MANAGEMENT: CMD 'username "Auth" "MYPROXYUSER"'
    Tue Jul 10 11:25:26 2012 MANAGEMENT: CMD 'password [...]'
    Tue Jul 10 11:25:26 2012 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Tue Jul 10 11:25:26 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Tue Jul 10 11:25:27 2012 LZO compression initialized
    Tue Jul 10 11:25:27 2012 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
    Tue Jul 10 11:25:27 2012 MANAGEMENT: >STATE:1341912327,RESOLVE,,,
    Tue Jul 10 11:25:27 2012 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
    Tue Jul 10 11:25:27 2012 Local Options hash (VER=V4): '619088b2'
    Tue Jul 10 11:25:27 2012 Expected Remote Options hash (VER=V4): 'a4f12474'
    Tue Jul 10 11:25:27 2012 Attempting to establish TCP connection with PROXYIP:8080
    Tue Jul 10 11:25:27 2012 MANAGEMENT: >STATE:1341912327,TCP_CONNECT,,,
    Tue Jul 10 11:25:27 2012 TCP connection established with PROXYIP:8080
    Tue Jul 10 11:25:27 2012 Send to HTTP proxy: 'CONNECT ***.***.***.***:443 HTTP/1.0'
    Tue Jul 10 11:25:28 2012 HTTP proxy returned: 'HTTP/1.1 407 Proxy Authentication Required ( The ISA Server requires authorization to fulfill the request. Access to the Web Proxy filter is denied.  )'
    Tue Jul 10 11:25:28 2012 Proxy requires authentication
    Tue Jul 10 11:25:28 2012 Attempting to establish TCP connection with PROXYIP:8080
    Tue Jul 10 11:25:28 2012 MANAGEMENT: >STATE:1341912328,TCP_CONNECT,,,
    Tue Jul 10 11:25:28 2012 TCP connection established with PROXYIP:8080
    Tue Jul 10 11:25:32 2012 MANAGEMENT: CMD 'username "HTTP Proxy" "MYUSERNAME"'
    Tue Jul 10 11:25:32 2012 MANAGEMENT: CMD 'password [...]'
    Tue Jul 10 11:25:32 2012 Send to HTTP proxy: 'CONNECT ***.***.***.***:443 HTTP/1.0'
    Tue Jul 10 11:25:32 2012 Attempting Basic Proxy-Authorization
    Tue Jul 10 11:25:35 2012 HTTP proxy returned: 'HTTP/1.1 407 Proxy Authentication Required ( The ISA Server requires authorization to fulfill the request. Access to the Web Proxy filter is denied.  )'
    Tue Jul 10 11:25:35 2012 Proxy requires authentication
    Tue Jul 10 11:25:35 2012 TCP/UDP: Closing socket
    Tue Jul 10 11:25:35 2012 SIGTERM[soft,init_instance] received, process exiting
    Tue Jul 10 11:25:35 2012 MANAGEMENT: >STATE:1341912335,EXITING,init_instance,,



    with Astaro 8.x VPN CLient


    Tue Jul 10 11:34:27 2012 OpenVPN 2.1.1 i686-pc-cygwin [SSL] [LZO2] built on May  7 2010
    Tue Jul 10 11:34:38 2012 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Tue Jul 10 11:34:38 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Tue Jul 10 11:34:38 2012 LZO compression initialized
    Tue Jul 10 11:34:38 2012 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
    Tue Jul 10 11:34:38 2012 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
    Tue Jul 10 11:34:38 2012 Local Options hash (VER=V4): '619088b2'
    Tue Jul 10 11:34:38 2012 Expected Remote Options hash (VER=V4): 'a4f12474'
    Tue Jul 10 11:34:38 2012 Attempting to establish TCP connection with PROXYIP:8080
    Tue Jul 10 11:34:38 2012 TCP connection established with PROXYIP:8080
    Tue Jul 10 11:34:38 2012 Send to HTTP proxy: 'CONNECT ***.***.***.***:443 HTTP/1.0'
    Tue Jul 10 11:34:38 2012 Attempting Basic Proxy-Authorization
    Tue Jul 10 11:34:40 2012 HTTP proxy returned: 'HTTP/1.1 200 Connection established'
    Tue Jul 10 11:34:42 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Tue Jul 10 11:34:42 2012 TCPv4_CLIENT link local: [undef]
    Tue Jul 10 11:34:42 2012 TCPv4_CLIENT link remote: PROXYIP:8080
    Tue Jul 10 11:34:42 2012 TLS: Initial packet from PROXYIP:8080, sid=f0e2746d 31ef9098
    Tue Jul 10 11:34:42 2012 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Tue Jul 10 11:34:44 2012 VERIFY OK: depth=1, /C=de/L=Buchdorf/O=Commscope/CN=Commscope_VPN_CA/emailAddress=emailAddress=email@com
    Tue Jul 10 11:34:44 2012 VERIFY X509NAME OK: /C=de/L=Buchdorf/O=Commscope/CN=ASTARO.dev/emailAddress=email@com
    Tue Jul 10 11:34:44 2012 VERIFY OK: depth=0, /C=de/L=Buchdorf/O=Commscope/CN=ASTARO.dev/emailAddress=email@com
    Tue Jul 10 11:34:47 2012 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    Tue Jul 10 11:34:47 2012 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    Tue Jul 10 11:34:47 2012 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    Tue Jul 10 11:34:47 2012 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    Tue Jul 10 11:34:47 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    Tue Jul 10 11:34:47 2012 [ASTARO.dev] Peer Connection Initiated with PROXYIP:8080
    Tue Jul 10 11:34:49 2012 SENT CONTROL [ASTARO.dev]: 'PUSH_REQUEST' (status=1)
    Tue Jul 10 11:34:49 2012 PUSH: Received control message: 'PUSH_REPLY,route remote_host 255.255.255.255


    After comparing the logs it seems i found the solution myself....

    With Astaro 8.x VPN Client you have to enter first the proxy credentials and after that the astaro user credentials
    With Sophos UTM 9 you have to enter first Astaro User credentials and after that the proxy credentials...

    The logs are a little bit confusing.... 
    Thanks anyway
Reply
  • 0 in reply to d12fk
    with Sophos 9.x VPN

    Tue Jul 10 11:25:20 2012 OpenVPN 2.1.1 i686-w64-mingw32 [SSL] [LZO2] built on Jun 21 2012
    Tue Jul 10 11:25:20 2012 MANAGEMENT: TCP Socket listening on 127.0.0.10:25340
    Tue Jul 10 11:25:20 2012 Need hold release from management interface, waiting...
    Tue Jul 10 11:25:21 2012 MANAGEMENT: Client connected from 127.0.0.10:25340
    Tue Jul 10 11:25:21 2012 MANAGEMENT: CMD 'state on'
    Tue Jul 10 11:25:21 2012 MANAGEMENT: CMD 'log all on'
    Tue Jul 10 11:25:21 2012 MANAGEMENT: CMD 'hold off'
    Tue Jul 10 11:25:21 2012 MANAGEMENT: CMD 'hold release'
    Tue Jul 10 11:25:26 2012 MANAGEMENT: CMD 'username "Auth" "MYPROXYUSER"'
    Tue Jul 10 11:25:26 2012 MANAGEMENT: CMD 'password [...]'
    Tue Jul 10 11:25:26 2012 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Tue Jul 10 11:25:26 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Tue Jul 10 11:25:27 2012 LZO compression initialized
    Tue Jul 10 11:25:27 2012 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
    Tue Jul 10 11:25:27 2012 MANAGEMENT: >STATE:1341912327,RESOLVE,,,
    Tue Jul 10 11:25:27 2012 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
    Tue Jul 10 11:25:27 2012 Local Options hash (VER=V4): '619088b2'
    Tue Jul 10 11:25:27 2012 Expected Remote Options hash (VER=V4): 'a4f12474'
    Tue Jul 10 11:25:27 2012 Attempting to establish TCP connection with PROXYIP:8080
    Tue Jul 10 11:25:27 2012 MANAGEMENT: >STATE:1341912327,TCP_CONNECT,,,
    Tue Jul 10 11:25:27 2012 TCP connection established with PROXYIP:8080
    Tue Jul 10 11:25:27 2012 Send to HTTP proxy: 'CONNECT ***.***.***.***:443 HTTP/1.0'
    Tue Jul 10 11:25:28 2012 HTTP proxy returned: 'HTTP/1.1 407 Proxy Authentication Required ( The ISA Server requires authorization to fulfill the request. Access to the Web Proxy filter is denied.  )'
    Tue Jul 10 11:25:28 2012 Proxy requires authentication
    Tue Jul 10 11:25:28 2012 Attempting to establish TCP connection with PROXYIP:8080
    Tue Jul 10 11:25:28 2012 MANAGEMENT: >STATE:1341912328,TCP_CONNECT,,,
    Tue Jul 10 11:25:28 2012 TCP connection established with PROXYIP:8080
    Tue Jul 10 11:25:32 2012 MANAGEMENT: CMD 'username "HTTP Proxy" "MYUSERNAME"'
    Tue Jul 10 11:25:32 2012 MANAGEMENT: CMD 'password [...]'
    Tue Jul 10 11:25:32 2012 Send to HTTP proxy: 'CONNECT ***.***.***.***:443 HTTP/1.0'
    Tue Jul 10 11:25:32 2012 Attempting Basic Proxy-Authorization
    Tue Jul 10 11:25:35 2012 HTTP proxy returned: 'HTTP/1.1 407 Proxy Authentication Required ( The ISA Server requires authorization to fulfill the request. Access to the Web Proxy filter is denied.  )'
    Tue Jul 10 11:25:35 2012 Proxy requires authentication
    Tue Jul 10 11:25:35 2012 TCP/UDP: Closing socket
    Tue Jul 10 11:25:35 2012 SIGTERM[soft,init_instance] received, process exiting
    Tue Jul 10 11:25:35 2012 MANAGEMENT: >STATE:1341912335,EXITING,init_instance,,



    with Astaro 8.x VPN CLient


    Tue Jul 10 11:34:27 2012 OpenVPN 2.1.1 i686-pc-cygwin [SSL] [LZO2] built on May  7 2010
    Tue Jul 10 11:34:38 2012 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Tue Jul 10 11:34:38 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Tue Jul 10 11:34:38 2012 LZO compression initialized
    Tue Jul 10 11:34:38 2012 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
    Tue Jul 10 11:34:38 2012 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
    Tue Jul 10 11:34:38 2012 Local Options hash (VER=V4): '619088b2'
    Tue Jul 10 11:34:38 2012 Expected Remote Options hash (VER=V4): 'a4f12474'
    Tue Jul 10 11:34:38 2012 Attempting to establish TCP connection with PROXYIP:8080
    Tue Jul 10 11:34:38 2012 TCP connection established with PROXYIP:8080
    Tue Jul 10 11:34:38 2012 Send to HTTP proxy: 'CONNECT ***.***.***.***:443 HTTP/1.0'
    Tue Jul 10 11:34:38 2012 Attempting Basic Proxy-Authorization
    Tue Jul 10 11:34:40 2012 HTTP proxy returned: 'HTTP/1.1 200 Connection established'
    Tue Jul 10 11:34:42 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Tue Jul 10 11:34:42 2012 TCPv4_CLIENT link local: [undef]
    Tue Jul 10 11:34:42 2012 TCPv4_CLIENT link remote: PROXYIP:8080
    Tue Jul 10 11:34:42 2012 TLS: Initial packet from PROXYIP:8080, sid=f0e2746d 31ef9098
    Tue Jul 10 11:34:42 2012 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Tue Jul 10 11:34:44 2012 VERIFY OK: depth=1, /C=de/L=Buchdorf/O=Commscope/CN=Commscope_VPN_CA/emailAddress=emailAddress=email@com
    Tue Jul 10 11:34:44 2012 VERIFY X509NAME OK: /C=de/L=Buchdorf/O=Commscope/CN=ASTARO.dev/emailAddress=email@com
    Tue Jul 10 11:34:44 2012 VERIFY OK: depth=0, /C=de/L=Buchdorf/O=Commscope/CN=ASTARO.dev/emailAddress=email@com
    Tue Jul 10 11:34:47 2012 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    Tue Jul 10 11:34:47 2012 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    Tue Jul 10 11:34:47 2012 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    Tue Jul 10 11:34:47 2012 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    Tue Jul 10 11:34:47 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    Tue Jul 10 11:34:47 2012 [ASTARO.dev] Peer Connection Initiated with PROXYIP:8080
    Tue Jul 10 11:34:49 2012 SENT CONTROL [ASTARO.dev]: 'PUSH_REQUEST' (status=1)
    Tue Jul 10 11:34:49 2012 PUSH: Received control message: 'PUSH_REPLY,route remote_host 255.255.255.255


    After comparing the logs it seems i found the solution myself....

    With Astaro 8.x VPN Client you have to enter first the proxy credentials and after that the astaro user credentials
    With Sophos UTM 9 you have to enter first Astaro User credentials and after that the proxy credentials...

    The logs are a little bit confusing.... 
    Thanks anyway
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?