Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2807 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN Problem NAT

IngoPohlschneider
Hello
I have a problem getting my remote access setup running.
The topology locks the following:

Macbook -> RouterB -> WAN 
2011-06-25 21:04:09 *Tunnelblick: OS X 10.6.8; Tunnelblick 3.1.7 (build 2190.2413); OpenVPN 2.1.4

2011-06-25 21:04:22 *Tunnelblick: Attempting connection with USERUSERUSER@DYNDYNDYN.dyndns.org; Set nameserver = 1; monitoring connection

2011-06-25 21:04:22 *Tunnelblick: /Applications/Tunnelblick.app/Contents/Resources/openvpnstart start USERUSERUSER@DYNDYNDYN.dyndns.org.ovpn 1337 1 0 0 0 49

2011-06-25 21:04:23 *Tunnelblick: openvpnstart: /Applications/Tunnelblick.app/Contents/Resources/openvpn --cd /.../Library/Application Support/Tunnelblick/Configurations --daemon --management 127.0.0.1 1337 --config /.../Library/Application Support/Tunnelblick/Configurations/chaser@chas0rdehb.dyndns.org.ovpn --log /Library/Application Support/Tunnelblick/Logs/-SUsers-SIngemar-SLibrary-SApplication Support-STunnelblick-SConfigurations-SUSERUSERUSER@DYNDYNDYN.dyndns.org.ovpn.1_0_0_0_49.1337.openvpn.log --management-query-passwords --management-hold --script-security 2 --up /Applications/Tunnelblick.app/Contents/Resources/client.up.tunnelblick.sh -m -w -d --down /Applications/Tunnelblick.app/Contents/Resources/client.down.tunnelblick.sh -m -w -d --up-restart

2011-06-25 21:04:27 OpenVPN 2.1.4 i386-apple-darwin10.7.1 [SSL] [LZO2] [PKCS11] built on Mar  1 2011

2011-06-25 21:04:27 MANAGEMENT: TCP Socket listening on 127.0.0.1:1337

2011-06-25 21:04:27 Need hold release from management interface, waiting...

2011-06-25 21:04:27 MANAGEMENT: Client connected from 127.0.0.1:1337

2011-06-25 21:04:27 MANAGEMENT: CMD 'pid'

2011-06-25 21:04:27 MANAGEMENT: CMD 'state on'

2011-06-25 21:04:27 MANAGEMENT: CMD 'state'

2011-06-25 21:04:27 MANAGEMENT: CMD 'hold release'

2011-06-25 21:04:35 MANAGEMENT: CMD 'username "Auth" "USERUSERUSER"'

2011-06-25 21:04:35 MANAGEMENT: CMD 'password [...]'

2011-06-25 21:04:35 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).

2011-06-25 21:04:35 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts

2011-06-25 21:04:35 LZO compression initialized

2011-06-25 21:04:35 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]

2011-06-25 21:04:35 Socket Buffers: R=[42080->65536] S=[9216->65536]

2011-06-25 21:04:35 MANAGEMENT: >STATE:1309028675,RESOLVE,,,

2011-06-25 21:04:35 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]

2011-06-25 21:04:35 Local Options hash (VER=V4): '22188c5b'

2011-06-25 21:04:35 Expected Remote Options hash (VER=V4): 'a8f55717'

2011-06-25 21:04:35 UDPv4 link local: [undef]

2011-06-25 21:04:35 UDPv4 link remote: IPIPIPIP:443

2011-06-25 21:04:35 MANAGEMENT: >STATE:1309028675,WAIT,,,


Thats what the log of Tunnelblick says when trying to connect.
(Some information where hidden [;)] )
Never made it to actually connect.


Any ideas?

Regards
chaser


This thread was automatically locked due to age.
  • 0
    So, if I understand correctly, your situation is the following:

    [Macbook]192.168.2.?>internet<>



    Can you confirm that the SSL VPN log in the Astaro shows that no connection attempt reached the Astaro?

    In 'Override hostname' on the 'Settings' tab, do you have the DynDNS FQDN of the Fritzbox?

    Cheers - Bob

  • 0 in reply to BAlfson
    Hey Bob,
    nice to hear from you [;)] 

    2011:06:25-20:54:55 CHAS0RDE-ASG openvpn[7495]: event_wait : Interrupted system call (code=4)

    2011:06:25-20:54:56 CHAS0RDE-ASG openvpn[7495]: TCP/UDP: Closing socket

    2011:06:25-20:54:56 CHAS0RDE-ASG openvpn[7495]: /bin/ip route del 192.168.3.0/24

    2011:06:25-20:54:56 CHAS0RDE-ASG openvpn[7495]: /usr/bin/openvpn_updown.plx down tun0 1500 1558 192.168.3.1 192.168.3.2 init

    2011:06:25-20:54:56 CHAS0RDE-ASG openvpn[7495]: Closing TUN/TAP interface

    2011:06:25-20:54:56 CHAS0RDE-ASG openvpn[7495]: /bin/ip addr del dev tun0 local 192.168.3.1 peer 192.168.3.2

    2011:06:25-20:54:56 CHAS0RDE-ASG openvpn[7495]: PLUGIN_CLOSE: /usr/lib/openvpn-auth-aua.so

    2011:06:25-20:54:56 CHAS0RDE-ASG openvpn[7495]: SIGTERM[hard,] received, process exiting

    2011:06:25-20:54:57 CHAS0RDE-ASG openvpn[3632]: OpenVPN 2.1.1 i686-suse-linux [SSL] [LZO2] [EPOLL] built on Sep 10 2010

    2011:06:25-20:54:57 CHAS0RDE-ASG openvpn[3632]: MANAGEMENT: client_uid=0

    2011:06:25-20:54:57 CHAS0RDE-ASG openvpn[3632]: MANAGEMENT: client_gid=0

    2011:06:25-20:54:57 CHAS0RDE-ASG openvpn[3632]: MANAGEMENT: unix domain socket listening on /var/run/ovpn_mgmt

    2011:06:25-20:54:57 CHAS0RDE-ASG openvpn[3632]: NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.

    2011:06:25-20:54:57 CHAS0RDE-ASG openvpn[3632]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts

    2011:06:25-20:54:57 CHAS0RDE-ASG openvpn[3632]: PLUGIN_INIT: POST /usr/lib/openvpn-auth-aua.so '[/usr/lib/openvpn-auth-aua.so]' intercepted=PLUGIN_AUTH_USER_PASS_VERIFY|PLUGIN_CLIENT_CONNECT|PLUGIN_CLIENT_DISCONNECT 

    2011:06:25-20:54:57 CHAS0RDE-ASG openvpn[3632]: Diffie-Hellman initialized with 2048 bit key

    2011:06:25-20:54:57 CHAS0RDE-ASG openvpn[3632]: TLS-Auth MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]

    2011:06:25-20:54:57 CHAS0RDE-ASG openvpn[3632]: ROUTE default_gateway=192.168.1.1

    2011:06:25-20:54:57 CHAS0RDE-ASG openvpn[3632]: TUN/TAP device tun0 opened

    2011:06:25-20:54:57 CHAS0RDE-ASG openvpn[3632]: TUN/TAP TX queue length set to 100

    2011:06:25-20:54:57 CHAS0RDE-ASG openvpn[3632]: /bin/ip link set dev tun0 up mtu 1500

    2011:06:25-20:54:57 CHAS0RDE-ASG openvpn[3632]: /bin/ip addr add dev tun0 local 192.168.3.1 peer 192.168.3.2

    2011:06:25-20:54:57 CHAS0RDE-ASG openvpn[3632]: /usr/bin/openvpn_updown.plx up tun0 1500 1558 192.168.3.1 192.168.3.2 init

    2011:06:25-20:54:58 CHAS0RDE-ASG openvpn[3632]: /bin/ip route add 192.168.3.0/24 via 192.168.3.2 dev tun0

    2011:06:25-20:54:58 CHAS0RDE-ASG openvpn[3632]: Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]

    2011:06:25-20:54:58 CHAS0RDE-ASG openvpn[3657]: Socket Buffers: R=[124928->131072] S=[124928->131072]

    2011:06:25-20:54:58 CHAS0RDE-ASG openvpn[3657]: UDPv4 link local (bound): [undef]:443

    2011:06:25-20:54:58 CHAS0RDE-ASG openvpn[3657]: UDPv4 link remote: [undef]

    2011:06:25-20:54:58 CHAS0RDE-ASG openvpn[3657]: MULTI: multi_init called, r=256 v=256

    2011:06:25-20:54:58 CHAS0RDE-ASG openvpn[3657]: IFCONFIG POOL: base=192.168.3.4 size=62

    2011:06:25-20:54:58 CHAS0RDE-ASG openvpn[3657]: IFCONFIG POOL LIST

    2011:06:25-20:54:58 CHAS0RDE-ASG openvpn[3657]: Ingo_Pohlschneider,192.168.3.4

    2011:06:25-20:54:58 CHAS0RDE-ASG openvpn[3657]: Initialization Sequence Completed


    Thats what the logs say...

    Override has the FQDN of the FB-DYNDNS in it yes.

    Regards
    chaser
  • 0
    I'm not an OpenVPN guru, but I don't see any evidence in the Astaro log that anything reached it.  Indeed, looking again, the connection attempt in the Tunnelblick log is ten minutes after the last entry in the Astaro log.

    I think I'll fall back on my standard comment - can you get rid of the Fritzbox and give the Astaro a public IP? [:)]

    Cheers - Bob
  • 0 in reply to BAlfson
    Hey Bob,
    first off all I had to realize that I am stupid [:P]
    Due to a hardware failure I had to replace the FB lately and forgot to add the PAT rule.

    So here is a log with that working (now using external port 4343 and directing it to 443 on the ASG since it seems traffic doesn't pass 443 on FB)

    2011:06:25-23:38:05 CHAS0RDE-ASG openvpn[3657]: event_wait : Interrupted system call (code=4)
    2011:06:25-23:38:05 CHAS0RDE-ASG openvpn[3657]: TCP/UDP: Closing socket
    2011:06:25-23:38:05 CHAS0RDE-ASG openvpn[3657]: /bin/ip route del 192.168.3.0/24
    2011:06:25-23:38:05 CHAS0RDE-ASG openvpn[3657]: /usr/bin/openvpn_updown.plx down tun0 1500 1558 192.168.3.1 192.168.3.2 init
    2011:06:25-23:38:06 CHAS0RDE-ASG openvpn[3657]: Closing TUN/TAP interface
    2011:06:25-23:38:06 CHAS0RDE-ASG openvpn[3657]: /bin/ip addr del dev tun0 local 192.168.3.1 peer 192.168.3.2
    2011:06:25-23:38:06 CHAS0RDE-ASG openvpn[3657]: PLUGIN_CLOSE: /usr/lib/openvpn-auth-aua.so
    2011:06:25-23:38:06 CHAS0RDE-ASG openvpn[3657]: SIGTERM[hard,] received, process exiting
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: OpenVPN 2.1.1 i686-suse-linux [SSL] [LZO2] [EPOLL] built on Sep 10 2010
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: MANAGEMENT: client_uid=0
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: MANAGEMENT: client_gid=0
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: MANAGEMENT: unix domain socket listening on /var/run/ovpn_mgmt
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: PLUGIN_INIT: POST /usr/lib/openvpn-auth-aua.so '[/usr/lib/openvpn-auth-aua.so]' intercepted=PLUGIN_AUTH_USER_PASS_VERIFY|PLUGIN_CLIENT_CONNECT|PLUGIN_CLIENT_DISCONNECT 
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: Diffie-Hellman initialized with 2048 bit key
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: TLS-Auth MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: ROUTE default_gateway=192.168.1.1
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: TUN/TAP device tun0 opened
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: TUN/TAP TX queue length set to 100
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: /bin/ip link set dev tun0 up mtu 1500
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: /bin/ip addr add dev tun0 local 192.168.3.1 peer 192.168.3.2
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: /usr/bin/openvpn_updown.plx up tun0 1500 1558 192.168.3.1 192.168.3.2 init
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: /bin/ip route add 192.168.3.0/24 via 192.168.3.2 dev tun0
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10180]: Socket Buffers: R=[124928->131072] S=[124928->131072]
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10180]: UDPv4 link local (bound): [undef]:4343
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10180]: UDPv4 link remote: [undef]
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10180]: MULTI: multi_init called, r=256 v=256
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10180]: IFCONFIG POOL: base=192.168.3.4 size=62
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10180]: IFCONFIG POOL LIST
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10180]: Name Surname,192.168.3.4
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10180]: Initialization Sequence Completed
    2011:06:25-23:41:22 CHAS0RDE-ASG openvpn[10180]: event_wait : Interrupted system call (code=4)
    2011:06:25-23:41:22 CHAS0RDE-ASG openvpn[10180]: TCP/UDP: Closing socket
    2011:06:25-23:41:22 CHAS0RDE-ASG openvpn[10180]: /bin/ip route del 192.168.3.0/24
    2011:06:25-23:41:22 CHAS0RDE-ASG openvpn[10180]: /usr/bin/openvpn_updown.plx down tun0 1500 1558 192.168.3.1 192.168.3.2 init
    2011:06:25-23:41:23 CHAS0RDE-ASG openvpn[10180]: Closing TUN/TAP interface
    2011:06:25-23:41:23 CHAS0RDE-ASG openvpn[10180]: /bin/ip addr del dev tun0 local 192.168.3.1 peer 192.168.3.2
    2011:06:25-23:41:23 CHAS0RDE-ASG openvpn[10180]: PLUGIN_CLOSE: /usr/lib/openvpn-auth-aua.so
    2011:06:25-23:41:23 CHAS0RDE-ASG openvpn[10180]: SIGTERM[hard,] received, process exiting
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: OpenVPN 2.1.1 i686-suse-linux [SSL] [LZO2] [EPOLL] built on Sep 10 2010
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: MANAGEMENT: client_uid=0
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: MANAGEMENT: client_gid=0
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: MANAGEMENT: unix domain socket listening on /var/run/ovpn_mgmt
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: PLUGIN_INIT: POST /usr/lib/openvpn-auth-aua.so '[/usr/lib/openvpn-auth-aua.so]' intercepted=PLUGIN_AUTH_USER_PASS_VERIFY|PLUGIN_CLIENT_CONNECT|PLUGIN_CLIENT_DISCONNECT 
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: Diffie-Hellman initialized with 2048 bit key
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: TLS-Auth MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: ROUTE default_gateway=192.168.1.1
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: TUN/TAP device tun0 opened
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: TUN/TAP TX queue length set to 100
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: /bin/ip link set dev tun0 up mtu 1500
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: /bin/ip addr add dev tun0 local 192.168.3.1 peer 192.168.3.2
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: /usr/bin/openvpn_updown.plx up tun0 1500 1558 192.168.3.1 192.168.3.2 init
    2011:06:25-23:41:25 CHAS0RDE-ASG openvpn[10321]: /bin/ip route add 192.168.3.0/24 via 192.168.3.2 dev tun0
    2011:06:25-23:41:25 CHAS0RDE-ASG openvpn[10321]: Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
    2011:06:25-23:41:25 CHAS0RDE-ASG openvpn[10352]: Socket Buffers: R=[124928->131072] S=[124928->131072]
    2011:06:25-23:41:25 CHAS0RDE-ASG openvpn[10352]: UDPv4 link local (bound): [undef]:443
    2011:06:25-23:41:25 CHAS0RDE-ASG openvpn[10352]: UDPv4 link remote: [undef]
    2011:06:25-23:41:25 CHAS0RDE-ASG openvpn[10352]: MULTI: multi_init called, r=256 v=256
    2011:06:25-23:41:25 CHAS0RDE-ASG openvpn[10352]: IFCONFIG POOL: base=192.168.3.4 size=62
    2011:06:25-23:41:25 CHAS0RDE-ASG openvpn[10352]: IFCONFIG POOL LIST
    2011:06:25-23:41:25 CHAS0RDE-ASG openvpn[10352]: Name Surname,192.168.3.4
    2011:06:25-23:41:25 CHAS0RDE-ASG openvpn[10352]: Initialization Sequence Completed
  • 0 

    2011-06-25 23:40:48 *Tunnelblick: Attempting connection with user@host.dyndns.org; Set nameserver = 1; monitoring connection
    2011-06-25 23:40:48 *Tunnelblick: /Applications/Tunnelblick.app/Contents/Resources/openvpnstart start user@host.dyndns.org.ovpn 1337 1 0 0 0 49
    2011-06-25 23:40:49 *Tunnelblick: openvpnstart: /Applications/Tunnelblick.app/Contents/Resources/openvpn --cd /.../Library/Application Support/Tunnelblick/Configurations --daemon --management 127.0.0.1 1337 --config /.../Library/Application Support/Tunnelblick/Configurations/chaser@chas0rdehb.dyndns.org.ovpn --log /Library/Application Support/Tunnelblick/Logs/-SUsers-SIngemar-SLibrary-SApplication Support-STunnelblick-SConfigurations-Suser@host.dyndns.org.ovpn.1_0_0_0_49.1337.openvpn.log --management-query-passwords --management-hold --script-security 2 --up /Applications/Tunnelblick.app/Contents/Resources/client.up.tunnelblick.sh -m -w -d --down /Applications/Tunnelblick.app/Contents/Resources/client.down.tunnelblick.sh -m -w -d --up-restart
    2011-06-25 23:40:51 OpenVPN 2.1.4 i386-apple-darwin10.7.1 [SSL] [LZO2] [PKCS11] built on Mar  1 2011
    2011-06-25 23:40:51 MANAGEMENT: TCP Socket listening on 127.0.0.1:1337
    2011-06-25 23:40:51 Need hold release from management interface, waiting...
    2011-06-25 23:40:51 MANAGEMENT: Client connected from 127.0.0.1:1337
    2011-06-25 23:40:53 MANAGEMENT: CMD 'pid'
    2011-06-25 23:40:53 MANAGEMENT: CMD 'state on'
    2011-06-25 23:40:53 MANAGEMENT: CMD 'state'
    2011-06-25 23:40:53 MANAGEMENT: CMD 'hold release'
    2011-06-25 23:40:53 MANAGEMENT: CMD 'username "Auth" "user"'
    2011-06-25 23:40:53 MANAGEMENT: CMD 'password [...]'
    2011-06-25 23:40:53 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    2011-06-25 23:40:53 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    2011-06-25 23:40:53 LZO compression initialized
    2011-06-25 23:40:53 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
    2011-06-25 23:40:53 Socket Buffers: R=[42080->65536] S=[9216->65536]
    2011-06-25 23:40:53 MANAGEMENT: >STATE:1309038053,RESOLVE,,,
    2011-06-25 23:40:53 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
    2011-06-25 23:40:53 Local Options hash (VER=V4): '22188c5b'
    2011-06-25 23:40:53 Expected Remote Options hash (VER=V4): 'a8f55717'
    2011-06-25 23:40:53 UDPv4 link local: [undef]
    2011-06-25 23:40:53 UDPv4 link remote: 92.76.224.130:4343
    2011-06-25 23:40:53 MANAGEMENT: >STATE:1309038053,WAIT,,,
    2011-06-25 23:40:53 *Tunnelblick: Obtained VPN username and password from the Keychain
    2011-06-25 23:41:34 event_wait : Interrupted system call (code=4)
    2011-06-25 23:41:34 TCP/UDP: Closing socket
    2011-06-25 23:41:34 SIGTERM[hard,] received, process exiting
    2011-06-25 23:41:34 MANAGEMENT: >STATE:1309038094,EXITING,SIGTERM,,
    2011-06-25 23:41:36 *Tunnelblick: Flushed the DNS cache
    2011-06-25 23:41:38 *Tunnelblick: Attempting connection with user@host.dyndns.org; Set nameserver = 1; monitoring connection
    2011-06-25 23:41:38 *Tunnelblick: /Applications/Tunnelblick.app/Contents/Resources/openvpnstart start chaser@chas0rdehb.dyndns.org.ovpn 1338 1 0 0 0 49
    2011-06-25 23:41:39 *Tunnelblick: openvpnstart: /Applications/Tunnelblick.app/Contents/Resources/openvpn --cd /.../Library/Application Support/Tunnelblick/Configurations --daemon --management 127.0.0.1 1338 --config /.../Library/Application Support/Tunnelblick/Configurations/user@host.dyndns.org.ovpn --log /Library/Application Support/Tunnelblick/Logs/-SUsers-SIngemar-SLibrary-SApplication Support-STunnelblick-SConfigurations-Suser@host.dyndns.org.ovpn.1_0_0_0_49.1338.openvpn.log --management-query-passwords --management-hold --script-security 2 --up /Applications/Tunnelblick.app/Contents/Resources/client.up.tunnelblick.sh -m -w -d --down /Applications/Tunnelblick.app/Contents/Resources/client.down.tunnelblick.sh -m -w -d --up-restart
    2011-06-25 23:41:40 OpenVPN 2.1.4 i386-apple-darwin10.7.1 [SSL] [LZO2] [PKCS11] built on Mar  1 2011
    2011-06-25 23:41:40 MANAGEMENT: TCP Socket listening on 127.0.0.1:1338
    2011-06-25 23:41:40 Need hold release from management interface, waiting...
    2011-06-25 23:41:40 MANAGEMENT: Client connected from 127.0.0.1:1338
    2011-06-25 23:41:40 MANAGEMENT: CMD 'pid'
    2011-06-25 23:41:40 MANAGEMENT: CMD 'state on'
    2011-06-25 23:41:40 MANAGEMENT: CMD 'state'
    2011-06-25 23:41:40 MANAGEMENT: CMD 'hold release'
    2011-06-25 23:41:40 MANAGEMENT: CMD 'username "Auth" "user"'
    2011-06-25 23:41:40 MANAGEMENT: CMD 'password [...]'
    2011-06-25 23:41:40 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    2011-06-25 23:41:40 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    2011-06-25 23:41:40 LZO compression initialized
    2011-06-25 23:41:40 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
    2011-06-25 23:41:40 Socket Buffers: R=[42080->65536] S=[9216->65536]
    2011-06-25 23:41:40 MANAGEMENT: >STATE:1309038100,RESOLVE,,,
    2011-06-25 23:41:40 *Tunnelblick: Obtained VPN username and password from the Keychain
    2011-06-25 23:41:41 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
    2011-06-25 23:41:41 Local Options hash (VER=V4): '22188c5b'
    2011-06-25 23:41:41 Expected Remote Options hash (VER=V4): 'a8f55717'
    2011-06-25 23:41:41 UDPv4 link local: [undef]
    2011-06-25 23:41:41 UDPv4 link remote: 92.76.224.130:4343
    2011-06-25 23:41:41 MANAGEMENT: >STATE:1309038101,WAIT,,,
    2011-06-25 23:42:42 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    2011-06-25 23:42:42 TLS Error: TLS handshake failed
    2011-06-25 23:42:42 TCP/UDP: Closing socket
    2011-06-25 23:42:42 SIGUSR1[soft,tls-error] received, process restarting
    2011-06-25 23:42:42 MANAGEMENT: >STATE:1309038162,RECONNECTING,tls-error,,
    2011-06-25 23:42:42 MANAGEMENT: CMD 'hold release'
    2011-06-25 23:42:42 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    2011-06-25 23:42:42 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    2011-06-25 23:42:42 Re-using SSL/TLS context
    2011-06-25 23:42:42 LZO compression initialized


    It says that the TLS handshake fails if i get that right

    Any thoughts?

    The FB needs to stay there as NAT Router because there are some users in the .1.x network which need to gain internet access w/ that [:(]
    Besides it also adds another layer of "security" as a secondary packet filter + (irony on) the awesome security feature (irony off) of NAT