Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 2908 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Mac OSX 10.6 + Tunnelblick + Astaro ASG320

DoctorGremlin
Hi there,
I'm trying to get my Mac to connect to our companies network, but i didn't get it to work. Anyone got an idea?

Here's the log from Tunnelblick:

2010-10-05 21:08:15 *Tunnelblick: OS X 10.6.4; Tunnelblick 3.0 (build 1437); OpenVPN 2.1.1
2010-10-05 21:08:28 *Tunnelblick: Attempting connection with ***x@***.xx.***.***.ovpn; Set nameserver = 1; monitoring connection
2010-10-05 21:08:28 *Tunnelblick: /Applications/Tunnelblick.app/Contents/Resources/openvpnstart start ***x@***.xx.***.***.ovpn 1337 1 0 0 0
2010-10-05 21:08:28 *Tunnelblick: /Applications/Tunnelblick.app/Contents/Resources/openvpn --management-query-passwords --cd /Users/Username/Library/Application Support/Tunnelblick/Configurations --daemon --management-hold --management 127.0.0.1 1337 --config /Users/username/Library/Application Support/Tunnelblick/Configurations/***x@***.xx.***.***.ovpn --script-security 2 --up "/Applications/Tunnelblick.app/Contents/Resources/client.up.osx.sh" --down "/Applications/Tunnelblick.app/Contents/Resources/client.down.osx.sh" --up-restart
2010-10-05 21:08:28 SUCCESS: pid=2056
2010-10-05 21:08:28 SUCCESS: real-time state notification set to ON
2010-10-05 21:08:28 SUCCESS: real-time log notification set to ON
2010-10-05 21:08:28 OpenVPN 2.1.1 i386-apple-darwin10.2.0 [SSL] [LZO2] [PKCS11] built on Feb 24 2010
2010-10-05 21:08:28 MANAGEMENT: TCP Socket listening on 127.0.0.1:1337
2010-10-05 21:08:28  waiting...
2010-10-05 21:08:28 MANAGEMENT: Client connected from 127.0.0.1:1337
2010-10-05 21:08:28 MANAGEMENT: CMD 'pid'
2010-10-05 21:08:28 MANAGEMENT: CMD 'state on'
2010-10-05 21:08:28 MANAGEMENT: CMD 'log on all'
2010-10-05 21:08:28 END
2010-10-05 21:08:28 MANAGEMENT: CMD 'hold release'
2010-10-05 21:08:28 SUCCESS: hold release succeeded
2010-10-05 21:08:28 MANAGEMENT: CMD 'username "Auth" "***x"'
2010-10-05 21:08:28  but not yet verified
2010-10-05 21:08:28 MANAGEMENT: CMD 'password [...]'
2010-10-05 21:08:28  but not yet verified
2010-10-05 21:08:28 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
2010-10-05 21:08:28 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2010-10-05 21:08:28 LZO compression initialized
2010-10-05 21:08:28 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
2010-10-05 21:08:28 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
2010-10-05 21:08:28 Local Options hash (VER=V4): '619088b2'
2010-10-05 21:08:28 Expected Remote Options hash (VER=V4): 'a4f12474'
2010-10-05 21:08:28 Attempting to establish TCP connection with 217.91.153.139:4431 [nonblock]
2010-10-05 21:08:28 
2010-10-05 21:08:29 TCP connection established with ***.xx.***.***:***x
2010-10-05 21:08:29 Socket Buffers: R=[525600->65536] S=[132480->65536]
2010-10-05 21:08:29 TCPv4_CLIENT link local: [undef]
2010-10-05 21:08:29 TCPv4_CLIENT link remote: ***.xx.***.***:***x
2010-10-05 21:08:29 
2010-10-05 21:08:29 
2010-10-05 21:08:29  sid=3638f156 4d76ec92
2010-10-05 21:08:29 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2010-10-05 21:08:30  /C=de/L=***_******/O=*********x_***_******/CN=*********x_***_******_VPN_CA/emailAddress=astaro@******.***
2010-10-05 21:08:30 VERIFY ERROR: could not extract Common Name from X509 subject string ('/C=de/L=***_******/O=*********x_***_******/emailAddress=astaro@******.***') -- note that the Common Name length is limited to 64 characters
2010-10-05 21:08:30 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
2010-10-05 21:08:30 TLS Error: TLS object -> incoming plaintext read error
2010-10-05 21:08:30 TLS Error: TLS handshake failed
2010-10-05 21:08:30  restarting
2010-10-05 21:08:30 TCP/UDP: Closing socket
2010-10-05 21:08:30  process restarting


This thread was automatically locked due to age.
Parents
  • 0
    Hi, DoctorGremlin, and welcome to the User BB!

    The search function here isn't very effective.  I found six posts in the last year that look like they have what you're looking for when I googled: site:astaro.org tunnelblick

    Other than that, the certificate error could be because the hostname of your Astaro isn't a publicly-resolvable FQDN, or that it's been changed since you installed.  I've recommended to Astaro that the hostname field have a consistency-check to confirm that before creating certificates.

    How far into the configuration are you?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi BAlfson,
    I don't know too much about the config of the ASG320.
    But i don't think it is a certificate problem because when i start the ssl vpn client in parallels desktop (Windows 7) it works perfectly with the same certificates as i am using under mac. I just got the problem with mac osx.
  • 0 in reply to DoctorGremlin
    The astaro client is more forgiving than tunnelblick. I have all my customers setup for remote ssl vpn. I use tunnelblick a lot. If you have Set Nameserver turned on with tunnelblick it causes all kinds of errors. I have not been successful in using that.

    Just a thought.
    Rick
  • 0 in reply to warper
    How can i turn off these settings? I've got full rights on the asg320 but i'm not good at setting up a vpn.
  • 0 in reply to DoctorGremlin
    No this is on Tunnelblick. I do assume you are running the latest version of tunnelblick.  Click on the tunnelblick icon in the upper right. Than go down to details. You will see when you open details in the lower left corner Make sure Set Nameserver is unchecked and try it. I never had any luck with that setting turned on.

    hope it helps.
  • 0 in reply to warper
    No it didn't help. I get the same error message as before [:(]
    Any other ideas?
  • 0 in reply to DoctorGremlin
    Hello,

    i use Tunnelblick and OS X 10.6.5 with this  (anonymized) config

    copy an edit

    ##############################################
    # Sample client-side OpenVPN 2.0 config file #
    # for connecting to multi-client server.     #
    #                                            #
    # This configuration can be used by multiple #
    # clients, however each client should have   #
    # its own cert and key files.                #
    #                                            #
    # On Windows, you might want to rename this  #
    # file so it has a .ovpn extension           #
    ##############################################

    # Specify that we are a client and that we
    # will be pulling certain config file directives
    # from the server.
    client

    # Use the same setting as you are using on
    # the server.
    # On most systems, the VPN will not function
    # unless you partially or fully disable
    # the firewall for the TUN/TAP interface.
    ;dev tap
    dev tun

    # Windows needs the TAP-Win32 adapter name
    # from the Network Connections panel
    # if you have more than one.  On XP SP2,
    # you may need to disable the firewall
    # for the TAP adapter.
    ;dev-node MyTap

    # Are we connecting to a TCP or
    # UDP server?  Use the same setting as
    # on the server.
    ;proto tcp
    proto tcp

    # The hostname/IP and port of the server.
    # You can have multiple remote entries
    # to load balance between the servers.
    remote YOUR IP oder DNS i use IP           http://openvpn.net/howto.html#mitm
    #
    # To use this feature, you will need to generate
    # your server certificates with the nsCertType
    # field set to "server".  The build-key-server
    # script in the easy-rsa folder will do this.
    ;ns-cert-type server

    # If a tls-auth key is used on the server
    # then every client must also have the key.
    ;tls-auth ta.key 1

    # Select a cryptographic cipher.
    # If the cipher option is used on the server
    # then you must also specify it here.
    ;cipher x
    cipher AES-128-CBC
    auth MD5

    # Enable compression on the VPN link.
    # Don't enable this unless it is also
    # enabled in the server config file.
    comp-lzo

    # Set log file verbosity.
    verb 3

    # Silence repeating messages
    ;mute 20

    # Let the server decide when to renegotiate keys
    reneg-sec 0
  • 0 in reply to Photographix
    Hmm, my config is exactly the same one, except for our ip and email-adress, but it didn't work. Any other ideas?
Reply Children
No Data