Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 5891 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSLVPN client Windows XP SP3

DinoX
Im using a ASG220 (7.502) that works fine with Vista SSLVPN-clients but I cant get my Windows XP SP3 clients to work.
What happens is that the trafficlight get green for about 5-10 seconds and then turns red again.

Ive tried to add these to the lines to the SSL VPN Client config-file (.ovpn) without success.

route-method exe
route-delay 20


This thread was automatically locked due to age.
Parents
  • 0
    would be helpful to have a look into the logfiles and/or post it here...
  • 0 in reply to AMros
    Ok, so this is what we have done. We fabric resetted the firewall, and tried the ssl-vpn functionality "out-of-the-box". It worked. After adding packet filter rules, routes etc etc it gets this error again, only with xp clinets.

    This is from the client:
    Tue Apr 06 09:26:32 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    Tue Apr 06 09:26:32 2010 [fw2.xpirit.net] Peer Connection Initiated with 88.131.72.65:443
    Tue Apr 06 09:26:34 2010 SENT CONTROL [fw2.xpirit.net]: 'PUSH_REQUEST' (status=1)
    Tue Apr 06 09:26:34 2010 PUSH: Received control message: 'PUSH_REPLY,ifconfig 172.24.0.202 172.24.0.201,ping-restart 120,ping 10,topology net30,route 172.24.0.193,route 88.131.72.64 255.255.255.224,route 172.28.148.24 255.255.255.248'
    Tue Apr 06 09:26:34 2010 OPTIONS IMPORT: timers and/or timeouts modified
    Tue Apr 06 09:26:34 2010 OPTIONS IMPORT: --ifconfig/up options modified
    Tue Apr 06 09:26:34 2010 OPTIONS IMPORT: route options modified
    Tue Apr 06 09:26:34 2010 ROUTE default_gateway=192.168.155.1
    Tue Apr 06 09:26:34 2010 TAP-WIN32 device [Anslutning till lokalt nätverk 3] opened: \.\Global\{D28FFA1A-5823-45B0-8586-DBEE6BC8C0F1}.tap
    Tue Apr 06 09:26:34 2010 TAP-Win32 Driver Version 9.6 
    Tue Apr 06 09:26:34 2010 TAP-Win32 MTU=1500
    Tue Apr 06 09:26:34 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 172.24.0.202/255.255.255.252 on interface {D28FFA1A-5823-45B0-8586-DBEE6BC8C0F1} [DHCP-serv: 172.24.0.201, lease-time: 31536000]
    Tue Apr 06 09:26:34 2010 Successful ARP Flush on interface [3] {D28FFA1A-5823-45B0-8586-DBEE6BC8C0F1}
    Tue Apr 06 09:26:54 2010 TEST ROUTES: 3/3 succeeded len=3 ret=1 a=0 u/d=up
    Tue Apr 06 09:26:54 2010 C:\WINDOWS\system32\route.exe ADD 172.24.0.193 MASK 255.255.255.255 172.24.0.201
    Tue Apr 06 09:26:54 2010 C:\WINDOWS\system32\route.exe ADD 88.131.72.64 MASK 255.255.255.224 172.24.0.201
    Tue Apr 06 09:26:54 2010 C:\WINDOWS\system32\route.exe ADD 172.28.148.24 MASK 255.255.255.248 172.24.0.201
    Tue Apr 06 09:26:54 2010 Initialization Sequence Completed
    Tue Apr 06 09:27:16 2010 Connection reset, restarting [-1]
    Tue Apr 06 09:27:16 2010 TCP/UDP: Closing socket
    Tue Apr 06 09:27:16 2010 SIGUSR1[soft,connection-reset] received, process restarting
    Tue Apr 06 09:27:16 2010 Restart pause, 5 second(s)
    Tue Apr 06 09:27:21 2010 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Tue Apr 06 09:27:21 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Tue Apr 06 09:27:21 2010 Re-using SSL/TLS context
    Tue Apr 06 09:27:21 2010 LZO compression initialized
    Tue Apr 06 09:27:21 2010 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
    Tue Apr 06 09:27:21 2010 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
    Tue Apr 06 09:27:21 2010 Local Options hash (VER=V4): '619088b2'
    Tue Apr 06 09:27:21 2010 Expected Remote Options hash (VER=V4): 'a4f12474'
    Tue Apr 06 09:27:21 2010 Attempting to establish TCP connection with 88.131.72.65:443
    Tue Apr 06 09:30:30 2010 TCP: connect to 88.131.72.65:443 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
    Tue Apr 06 09:33:44 2010 TCP: connect to 88.131.72.65:443 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
    Tue Apr 06 09:36:58 2010 TCP: connect to 88.131.72.65:443 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
    Tue Apr 06 09:40:12 2010 TCP: connect to 88.131.72.65:443 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)

    Debug from the firewall:
    2010:04:06-09:17:30 fw2 openvpn[6286]: 81.191.131.241:49641 TCPv4_SERVER READ [22] from 81.191.131.241:49641: P_ACK_V1 kid=0 [ 14 ] 
    2010:04:06-09:17:30 fw2 openvpn[6286]: 81.191.131.241:49641 TCPv4_SERVER WRITE [114] to 81.191.131.241:49641: P_CONTROL_V1 kid=0 [ ] pid=18 DATA len=100 
    2010:04:06-09:17:30 fw2 openvpn[6286]: 81.191.131.241:49641 Connection reset, restarting [0] 
    2010:04:06-09:17:30 fw2 openvpn[6286]: 81.191.131.241:49641 SIGUSR1[soft,connection-reset] received, client-instance restarting 
    2010:04:06-09:17:30 fw2 openvpn[6286]: TCP/UDP: Closing socket 
    2010:04:06-09:17:35 fw2 openvpn[6286]: MULTI: multi_create_instance called 
    2010:04:06-09:17:35 fw2 openvpn[6286]: Re-using SSL/TLS context 
    2010:04:06-09:17:35 fw2 openvpn[6286]: LZO compression initialized 
    2010:04:06-09:17:35 fw2 openvpn[6286]: Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ] 
    2010:04:06-09:17:35 fw2 openvpn[6286]: Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ] 
    2010:04:06-09:17:35 fw2 openvpn[6286]: Local Options String: 'V4,dev-type tun,link-mtu 1556,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher AES-128-CBC,auth MD5,keysize 128,key-method 2,tls-server' 
    2010:04:06-09:17:35 fw2 openvpn[6286]: Expected Remote Options String: 'V4,dev-type tun,link-mtu 1556,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher AES-128-CBC,auth MD5,keysize 128,key-method 2,tls-client' 
    2010:04:06-09:17:35 fw2 openvpn[6286]: Local Options hash (VER=V4): 'a4f12474' 
    2010:04:06-09:17:35 fw2 openvpn[6286]: Expected Remote Options hash (VER=V4): '619088b2' 
    2010:04:06-09:17:35 fw2 openvpn[6286]: TCP connection established with 81.191.131.241:49642 
    2010:04:06-09:17:35 fw2 openvpn[6286]: Socket Buffers: R=[131072->131072] S=[131072->131072] 
    2010:04:06-09:17:35 fw2 openvpn[6286]: TCPv4_SERVER link local: [undef] 
    2010:04:06-09:17:35 fw2 openvpn[6286]: TCPv4_SERVER link remote: 81.191.131.241:49642 
    2010:04:06-09:17:35 fw2 openvpn[6286]: 81.191.131.241:49642 TCPv4_SERVER READ [14] from 81.191.131.241:49642: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0 
    2010:04:06-09:17:35 fw2 openvpn[6286]: 81.191.131.241:49642 TLS: Initial packet from 81.191.131.241:49642, sid=c121e267 7d44588f 
    2010:04:06-09:17:35 fw2 openvpn[6286]: 81.191.131.241:49642 TCPv4_SERVER WRITE [26] to 81.191.131.241:49642: P_CONTROL_HARD_RESET_SERVER_V2 kid=0 [ 0 ] pid=0 DATA len=0 
    2010:04:06-09:17:35 fw2 openvpn[6286]: 81.191.131.241:49642 TCPv4_SERVER READ [22] from 81.191.131.241:49642: P_ACK_V1 kid=0 [ 0 ] 
    2010:04:06-09:17:35 fw2 openvpn[6286]: 81.191.131.241:49642 TCPv4_SERVER READ [108] from 81.191.131.241:49642: P_CONTROL_V1 kid=0 [ ] pid=1 DATA len=94 
    2010:04:06-09:17:35 fw2 openvpn[6286]: 81.191.131.241:49642 TCPv4_SERVER WRITE [126] to 81.191.131.241:49642: P_CONTROL_V1 kid=0 [ 1 ] pid=1 DATA len=100 
    2010:04:06-09:17:35 fw2 openvpn[6286]: 81.191.131.241:49642 TCPv4_SERVER READ [22] from 81.191.131.241:49642: P_ACK_V1 kid=0 [ 14 ] 
    2010:04:06-09:17:35 fw2 openvpn[6286]: 81.191.131.241:49642 TCPv4_SERVER WRITE [114] to 81.191.131.241:49642: P_CONTROL_V1 kid=0 [ ] pid=18 DATA len=100 
    2010:04:06-09:17:35 fw2 openvpn[6286]: 81.191.131.241:49642 Connection reset, restarting [0] 
    2010:04:06-09:17:35 fw2 openvpn[6286]: 81.191.131.241:49642 SIGUSR1[soft,connection-reset] received, client-instance restarting 
    2010:04:06-09:17:35 fw2 openvpn[6286]: TCP/UDP: Closing socket 
    2010:04:06-09:17:36 fw2 openvpn[6286]: Lotta_test/212.37.16.250:1075 TCPv4_SERVER WRITE [65] to 212.37.16.250:1075: P_DATA_V1 kid=0 DATA len=64
Reply
  • 0 in reply to AMros
    Ok, so this is what we have done. We fabric resetted the firewall, and tried the ssl-vpn functionality "out-of-the-box". It worked. After adding packet filter rules, routes etc etc it gets this error again, only with xp clinets.

    This is from the client:
    Tue Apr 06 09:26:32 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    Tue Apr 06 09:26:32 2010 [fw2.xpirit.net] Peer Connection Initiated with 88.131.72.65:443
    Tue Apr 06 09:26:34 2010 SENT CONTROL [fw2.xpirit.net]: 'PUSH_REQUEST' (status=1)
    Tue Apr 06 09:26:34 2010 PUSH: Received control message: 'PUSH_REPLY,ifconfig 172.24.0.202 172.24.0.201,ping-restart 120,ping 10,topology net30,route 172.24.0.193,route 88.131.72.64 255.255.255.224,route 172.28.148.24 255.255.255.248'
    Tue Apr 06 09:26:34 2010 OPTIONS IMPORT: timers and/or timeouts modified
    Tue Apr 06 09:26:34 2010 OPTIONS IMPORT: --ifconfig/up options modified
    Tue Apr 06 09:26:34 2010 OPTIONS IMPORT: route options modified
    Tue Apr 06 09:26:34 2010 ROUTE default_gateway=192.168.155.1
    Tue Apr 06 09:26:34 2010 TAP-WIN32 device [Anslutning till lokalt nätverk 3] opened: \.\Global\{D28FFA1A-5823-45B0-8586-DBEE6BC8C0F1}.tap
    Tue Apr 06 09:26:34 2010 TAP-Win32 Driver Version 9.6 
    Tue Apr 06 09:26:34 2010 TAP-Win32 MTU=1500
    Tue Apr 06 09:26:34 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 172.24.0.202/255.255.255.252 on interface {D28FFA1A-5823-45B0-8586-DBEE6BC8C0F1} [DHCP-serv: 172.24.0.201, lease-time: 31536000]
    Tue Apr 06 09:26:34 2010 Successful ARP Flush on interface [3] {D28FFA1A-5823-45B0-8586-DBEE6BC8C0F1}
    Tue Apr 06 09:26:54 2010 TEST ROUTES: 3/3 succeeded len=3 ret=1 a=0 u/d=up
    Tue Apr 06 09:26:54 2010 C:\WINDOWS\system32\route.exe ADD 172.24.0.193 MASK 255.255.255.255 172.24.0.201
    Tue Apr 06 09:26:54 2010 C:\WINDOWS\system32\route.exe ADD 88.131.72.64 MASK 255.255.255.224 172.24.0.201
    Tue Apr 06 09:26:54 2010 C:\WINDOWS\system32\route.exe ADD 172.28.148.24 MASK 255.255.255.248 172.24.0.201
    Tue Apr 06 09:26:54 2010 Initialization Sequence Completed
    Tue Apr 06 09:27:16 2010 Connection reset, restarting [-1]
    Tue Apr 06 09:27:16 2010 TCP/UDP: Closing socket
    Tue Apr 06 09:27:16 2010 SIGUSR1[soft,connection-reset] received, process restarting
    Tue Apr 06 09:27:16 2010 Restart pause, 5 second(s)
    Tue Apr 06 09:27:21 2010 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Tue Apr 06 09:27:21 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Tue Apr 06 09:27:21 2010 Re-using SSL/TLS context
    Tue Apr 06 09:27:21 2010 LZO compression initialized
    Tue Apr 06 09:27:21 2010 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
    Tue Apr 06 09:27:21 2010 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
    Tue Apr 06 09:27:21 2010 Local Options hash (VER=V4): '619088b2'
    Tue Apr 06 09:27:21 2010 Expected Remote Options hash (VER=V4): 'a4f12474'
    Tue Apr 06 09:27:21 2010 Attempting to establish TCP connection with 88.131.72.65:443
    Tue Apr 06 09:30:30 2010 TCP: connect to 88.131.72.65:443 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
    Tue Apr 06 09:33:44 2010 TCP: connect to 88.131.72.65:443 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
    Tue Apr 06 09:36:58 2010 TCP: connect to 88.131.72.65:443 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
    Tue Apr 06 09:40:12 2010 TCP: connect to 88.131.72.65:443 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)

    Debug from the firewall:
    2010:04:06-09:17:30 fw2 openvpn[6286]: 81.191.131.241:49641 TCPv4_SERVER READ [22] from 81.191.131.241:49641: P_ACK_V1 kid=0 [ 14 ] 
    2010:04:06-09:17:30 fw2 openvpn[6286]: 81.191.131.241:49641 TCPv4_SERVER WRITE [114] to 81.191.131.241:49641: P_CONTROL_V1 kid=0 [ ] pid=18 DATA len=100 
    2010:04:06-09:17:30 fw2 openvpn[6286]: 81.191.131.241:49641 Connection reset, restarting [0] 
    2010:04:06-09:17:30 fw2 openvpn[6286]: 81.191.131.241:49641 SIGUSR1[soft,connection-reset] received, client-instance restarting 
    2010:04:06-09:17:30 fw2 openvpn[6286]: TCP/UDP: Closing socket 
    2010:04:06-09:17:35 fw2 openvpn[6286]: MULTI: multi_create_instance called 
    2010:04:06-09:17:35 fw2 openvpn[6286]: Re-using SSL/TLS context 
    2010:04:06-09:17:35 fw2 openvpn[6286]: LZO compression initialized 
    2010:04:06-09:17:35 fw2 openvpn[6286]: Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ] 
    2010:04:06-09:17:35 fw2 openvpn[6286]: Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ] 
    2010:04:06-09:17:35 fw2 openvpn[6286]: Local Options String: 'V4,dev-type tun,link-mtu 1556,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher AES-128-CBC,auth MD5,keysize 128,key-method 2,tls-server' 
    2010:04:06-09:17:35 fw2 openvpn[6286]: Expected Remote Options String: 'V4,dev-type tun,link-mtu 1556,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher AES-128-CBC,auth MD5,keysize 128,key-method 2,tls-client' 
    2010:04:06-09:17:35 fw2 openvpn[6286]: Local Options hash (VER=V4): 'a4f12474' 
    2010:04:06-09:17:35 fw2 openvpn[6286]: Expected Remote Options hash (VER=V4): '619088b2' 
    2010:04:06-09:17:35 fw2 openvpn[6286]: TCP connection established with 81.191.131.241:49642 
    2010:04:06-09:17:35 fw2 openvpn[6286]: Socket Buffers: R=[131072->131072] S=[131072->131072] 
    2010:04:06-09:17:35 fw2 openvpn[6286]: TCPv4_SERVER link local: [undef] 
    2010:04:06-09:17:35 fw2 openvpn[6286]: TCPv4_SERVER link remote: 81.191.131.241:49642 
    2010:04:06-09:17:35 fw2 openvpn[6286]: 81.191.131.241:49642 TCPv4_SERVER READ [14] from 81.191.131.241:49642: P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0 
    2010:04:06-09:17:35 fw2 openvpn[6286]: 81.191.131.241:49642 TLS: Initial packet from 81.191.131.241:49642, sid=c121e267 7d44588f 
    2010:04:06-09:17:35 fw2 openvpn[6286]: 81.191.131.241:49642 TCPv4_SERVER WRITE [26] to 81.191.131.241:49642: P_CONTROL_HARD_RESET_SERVER_V2 kid=0 [ 0 ] pid=0 DATA len=0 
    2010:04:06-09:17:35 fw2 openvpn[6286]: 81.191.131.241:49642 TCPv4_SERVER READ [22] from 81.191.131.241:49642: P_ACK_V1 kid=0 [ 0 ] 
    2010:04:06-09:17:35 fw2 openvpn[6286]: 81.191.131.241:49642 TCPv4_SERVER READ [108] from 81.191.131.241:49642: P_CONTROL_V1 kid=0 [ ] pid=1 DATA len=94 
    2010:04:06-09:17:35 fw2 openvpn[6286]: 81.191.131.241:49642 TCPv4_SERVER WRITE [126] to 81.191.131.241:49642: P_CONTROL_V1 kid=0 [ 1 ] pid=1 DATA len=100 
    2010:04:06-09:17:35 fw2 openvpn[6286]: 81.191.131.241:49642 TCPv4_SERVER READ [22] from 81.191.131.241:49642: P_ACK_V1 kid=0 [ 14 ] 
    2010:04:06-09:17:35 fw2 openvpn[6286]: 81.191.131.241:49642 TCPv4_SERVER WRITE [114] to 81.191.131.241:49642: P_CONTROL_V1 kid=0 [ ] pid=18 DATA len=100 
    2010:04:06-09:17:35 fw2 openvpn[6286]: 81.191.131.241:49642 Connection reset, restarting [0] 
    2010:04:06-09:17:35 fw2 openvpn[6286]: 81.191.131.241:49642 SIGUSR1[soft,connection-reset] received, client-instance restarting 
    2010:04:06-09:17:35 fw2 openvpn[6286]: TCP/UDP: Closing socket 
    2010:04:06-09:17:36 fw2 openvpn[6286]: Lotta_test/212.37.16.250:1075 TCPv4_SERVER WRITE [65] to 212.37.16.250:1075: P_DATA_V1 kid=0 DATA len=64
Children
  • 0 in reply to DinoX
    Case closed! We solved the problem (internal routingissue).
    Thanks.
  • 0 in reply to DinoX
    Case reopend!

    We also have this problem in our company.
    Same problem discription as topic starter.

    I also heard about adding the lines:

    route-method exe
    route-delay 20

    to the SSL VPN Client config-file (.ovpn) , but can any one tell me how?

    When I open the .ovpn file in MS Word I see all kinds of commands with the explanation above it, the an # in front of it.

    If I want to add these two lines, how and where do I have to place them?