Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 5 replies
  • Answers 2 answers
  • Subscribers 3 subscribers
  • Views 3386 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos SSL VPN unable to get local issuer certificate

Benjamin Rommel

Hallo,

ich habe gestern unser neues Mailserver-Zertfikat inkl. CA in unsere UTM 9 hochgeladen. Dabei hat es irgendwie unsere VPN-Konfiguration zerissen. Es ist nun nicht mehr möglich per SSL-VPN zu connecten.

Auch das Löschen und neu Anlegen des Benutzers inkl. Aktualisierung des SSL-VPN Clients hat das Problem nicht gelöst.

Hinter allen Zertifkaten steht (regenerated). Auch hinter dem unter SSL -> Erweitert -> Serverzertifikat.

Hier der Log des Clients.

Wed Mar 04 08:27:02 2020 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340Wed Mar 04 08:27:02 2020 Need hold release from management interface, waiting...

Wed Mar 04 08:27:03 2020 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Mar 04 08:27:03 2020 MANAGEMENT: CMD 'state on'
Wed Mar 04 08:27:03 2020 MANAGEMENT: CMD 'log all on'
Wed Mar 04 08:27:03 2020 MANAGEMENT: CMD 'hold off'
Wed Mar 04 08:27:03 2020 MANAGEMENT: CMD 'hold release'
Wed Mar 04 08:27:10 2020 MANAGEMENT: CMD 'username "Auth" "Username"'
Wed Mar 04 08:27:10 2020 MANAGEMENT: CMD 'password [...]'
Wed Mar 04 08:27:10 2020 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Mar 04 08:27:10 2020 Attempting to establish TCP connection with [AF_INET]externeip:9999 [nonblock]
Wed Mar 04 08:27:10 2020 MANAGEMENT: >STATE:1583306830,TCP_CONNECT,,,,,,
Wed Mar 04 08:27:11 2020 TCP connection established with [AF_INET]externeip:9999
Wed Mar 04 08:27:11 2020 TCPv4_CLIENT link local: [undef]
Wed Mar 04 08:27:11 2020 TCPv4_CLIENT link remote: [AF_INET]externeIP:9999
Wed Mar 04 08:27:11 2020 MANAGEMENT: >STATE:1583306831,WAIT,,,,,,
Wed Mar 04 08:27:11 2020 MANAGEMENT: >STATE:1583306831,AUTH,,,,,,
Wed Mar 04 08:27:11 2020 TLS: Initial packet from [AF_INET]130.180.41.78:9999, sid=89111f07 be5927da
Wed Mar 04 08:27:11 2020 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Mar 04 08:27:11 2020 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: C=DE, L=Ort, O=Firma, CN=utm.unseredomain.de, emailAddress=technik@unseredomain.de
Wed Mar 04 08:27:11 2020 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Wed Mar 04 08:27:11 2020 TLS Error: TLS object -> incoming plaintext read error
Wed Mar 04 08:27:11 2020 TLS Error: TLS handshake failed
Wed Mar 04 08:27:11 2020 Fatal TLS error (check_tls_errors_co), restarting
Wed Mar 04 08:27:11 2020 SIGUSR1[soft,tls-error] received, process restarting
Wed Mar 04 08:27:11 2020 MANAGEMENT: >STATE:1583306831,RECONNECTING,tls-error,,,,,
Wed Mar 04 08:27:11 2020 Restart pause, 5 second(s)

 

Wie kann ich das Problem lösen?

MfG



This thread was automatically locked due to age.
Parents
  • 0

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    It would have been interesting to see the OpenVPN log lines from the UTM corresponding to this connection attempt.  In any case, it sounds like you have regenerated user certificates, but haven't selected the regenerated 'Server certificate' on the 'Advanced' tab of 'SSL'.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo Bob,

    ich habe an dem Zertifikat unter dem "Advanced" Tab nichts geändert. Hier ist automatisch das Local x509 Cert (regenerated) aufgetaucht.

    Hier der Log auf der Firewall Seite.

    2020:03:06-22:07:01 utm-2 openvpn[26659]: MANAGEMENT: Client connected from /var/run/openvpn_mgmt
    2020:03:06-22:07:01 utm-2 openvpn[26659]: MANAGEMENT: CMD 'status -1'
    2020:03:06-22:07:11 utm-2 openvpn[26659]: MANAGEMENT: Client disconnected
    2020:03:06-22:07:17 utm-2 openvpn[26659]: MANAGEMENT: Client connected from /var/run/openvpn_mgmt
    2020:03:06-22:07:17 utm-2 openvpn[26659]: MANAGEMENT: CMD 'status -1'
    2020:03:06-22:07:27 utm-2 openvpn[26659]: MANAGEMENT: Client disconnected
    2020:03:06-22:09:42 utm-2 openvpn[26659]: MANAGEMENT: Client connected from /var/run/openvpn_mgmt
    2020:03:06-22:09:42 utm-2 openvpn[26659]: MANAGEMENT: CMD 'status -1'
    2020:03:06-22:09:52 utm-2 openvpn[26659]: MANAGEMENT: Client disconnected
    2020:03:06-22:46:14 utm-2 openvpn[26659]: TCP connection established with [AF_INET]clientip:16913 (via [AF_INET]firewallip:9999)
    2020:03:06-22:46:14 utm-2 openvpn[26659]: clientip:16913 TLS: Initial packet from [AF_INET]clientip:16913 (via [AF_INET]firewallip:9999), sid=af47a6b3 7d51b309
    2020:03:06-22:46:14 utm-2 openvpn[26659]: clientip:16913 Connection reset, restarting [0]
    2020:03:06-22:46:14 utm-2 openvpn[26659]: clientip:16913 SIGUSR1[soft,connection-reset] received, client-instance restarting
    2020:03:06-22:46:22 utm-2 openvpn[26659]: TCP connection established with [AF_INET]clientip:26502 (via [AF_INET]unsereip:9999)
    2020:03:06-22:46:22 utm-2 openvpn[26659]: clientip:26502 TLS: Initial packet from [AF_INET]clientip:26502 (via [AF_INET]firewallip:9999), sid=f3c1e1e7 4b789470
    2020:03:06-22:46:22 utm-2 openvpn[26659]: clientip:26502 Connection reset, restarting [0]
    2020:03:06-22:46:22 utm-2 openvpn[26659]: clientip:26502 SIGUSR1[soft,connection-reset] received, client-instance restarting
    2020:03:06-22:46:24 utm-2 openvpn[26659]: TCP connection established with [AF_INET]clientip:1545 (via [AF_INET]firewallip:9999)
    2020:03:06-22:46:24 utm-2 openvpn[26659]: clientip:1545 TLS: Initial packet from [AF_INET]clientip:1545 (via [AF_INET]firewallip:9999), sid=cf7a73d5 8230a7f9
    2020:03:06-22:46:24 utm-2 openvpn[26659]: clientip:1545 Connection reset, restarting [0]
    2020:03:06-22:46:24 utm-2 openvpn[26659]: clientip:1545 SIGUSR1[soft,connection-reset] received, client-instance restarting

    Danke für deine Antwort.

    berootale

  • 0 in reply to Benjamin Rommel

    Hallo,

    ich habe nun das Backup von vor der Umstellung eingespielt. Anschließend habe ich erneut das Zertifikat + CA über Zertifikatsverwaltung -> Zertifikate eingespielt.

    Diesmal gibt es kein Problem. Ich denke hier ist beim ersten Versuch irgendwas falsch gelaufen.

  • 0 in reply to Benjamin Rommel

    Hatte hier heute ein änhliches Problem.

    Nachdem ich gestern ein "public trusted" Zertifikat meiner website erfolgreich in die Sophos eingebunden habe und nun die Admin UI, webfilter-warnings, etc. als "sicher" eingestuft werden, wollte ich es komplett machen, um auch das VPN bzw das User Portal umzustellen.

    Das User Portal von intern hat auf Anhieb geklappt, jedoch von extern über ein dyndns Dienst war etwas Handarbeit notwendig. Hierzu wurde dann eine neue subdomain angelegt, welche von dem Zertifikat abgedeckt ist und ein CNAME Eintrag im dns auf den dyndns gemünzt.

     

    Ein erster Test nach Aufruf des User Portals von extern und Installation des VPN Clients jedoch brachte hier immer Zertifikatsfehler, etc. 

    Auch ein neuer Benutzer hat hier nichts geändert; es stand jedoch überall hinter jeglichen Zertifikaten bereits das "regenerated". 

    Ich habe dann über advanced "regenerate signing CA" durchgeführt und nun funktioniert es auch mit den alten Benutzern wieder.

     

    Jedoch steht hier nun hinter so gut wie jedem Zertifikat doppelt "regenerated":

    (regenerated) (regenerated)

    Finde ich extrem hässlich, jedoch ist mir ein Restore erstmal etwas zu riskant - mich würde aber interessieren, wie das normal läuft mit den Zertifikaten und Einbindung neuer Zertifikate, bzw Austausch generell, etc. Denn offensichtlich hat die UTM ja automatisch bereits was gemacht, sonst wäre das erste "(regenerated)" nicht zustande gekommen.

Reply
  • 0 in reply to Benjamin Rommel

    Hatte hier heute ein änhliches Problem.

    Nachdem ich gestern ein "public trusted" Zertifikat meiner website erfolgreich in die Sophos eingebunden habe und nun die Admin UI, webfilter-warnings, etc. als "sicher" eingestuft werden, wollte ich es komplett machen, um auch das VPN bzw das User Portal umzustellen.

    Das User Portal von intern hat auf Anhieb geklappt, jedoch von extern über ein dyndns Dienst war etwas Handarbeit notwendig. Hierzu wurde dann eine neue subdomain angelegt, welche von dem Zertifikat abgedeckt ist und ein CNAME Eintrag im dns auf den dyndns gemünzt.

     

    Ein erster Test nach Aufruf des User Portals von extern und Installation des VPN Clients jedoch brachte hier immer Zertifikatsfehler, etc. 

    Auch ein neuer Benutzer hat hier nichts geändert; es stand jedoch überall hinter jeglichen Zertifikaten bereits das "regenerated". 

    Ich habe dann über advanced "regenerate signing CA" durchgeführt und nun funktioniert es auch mit den alten Benutzern wieder.

     

    Jedoch steht hier nun hinter so gut wie jedem Zertifikat doppelt "regenerated":

    (regenerated) (regenerated)

    Finde ich extrem hässlich, jedoch ist mir ein Restore erstmal etwas zu riskant - mich würde aber interessieren, wie das normal läuft mit den Zertifikaten und Einbindung neuer Zertifikate, bzw Austausch generell, etc. Denn offensichtlich hat die UTM ja automatisch bereits was gemacht, sonst wäre das erste "(regenerated)" nicht zustande gekommen.

Children
  • +1 in reply to nd

    Hallo Andy,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

    ** Standard warning about CLI changes on a UTM with a paid license. **

    You can get a list of the names of regenerated certs with:

    cc get_objects ca host_key_cert|grep regenerated

    One of the ones I got with that was 'name' => 'astaro (X509 User Cert) (regenerated) (regenerated)', so I got the REF_ for it with:

    cc get_object_by_name ca host_key_cert 'astaro (X509 User Cert) (regenerated) (regenerated)' |grep ref

    The response was 'ref' => 'REF_XEqiZtSzBM', so I changed the name with:

    cc change_object REF_XEqiZtSzBM name 'astaro (X509 User Cert)'

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML