Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2809 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN Problem NAT

IngoPohlschneider
Hello
I have a problem getting my remote access setup running.
The topology locks the following:

Macbook -> RouterB -> WAN 
2011-06-25 21:04:09 *Tunnelblick: OS X 10.6.8; Tunnelblick 3.1.7 (build 2190.2413); OpenVPN 2.1.4

2011-06-25 21:04:22 *Tunnelblick: Attempting connection with USERUSERUSER@DYNDYNDYN.dyndns.org; Set nameserver = 1; monitoring connection

2011-06-25 21:04:22 *Tunnelblick: /Applications/Tunnelblick.app/Contents/Resources/openvpnstart start USERUSERUSER@DYNDYNDYN.dyndns.org.ovpn 1337 1 0 0 0 49

2011-06-25 21:04:23 *Tunnelblick: openvpnstart: /Applications/Tunnelblick.app/Contents/Resources/openvpn --cd /.../Library/Application Support/Tunnelblick/Configurations --daemon --management 127.0.0.1 1337 --config /.../Library/Application Support/Tunnelblick/Configurations/chaser@chas0rdehb.dyndns.org.ovpn --log /Library/Application Support/Tunnelblick/Logs/-SUsers-SIngemar-SLibrary-SApplication Support-STunnelblick-SConfigurations-SUSERUSERUSER@DYNDYNDYN.dyndns.org.ovpn.1_0_0_0_49.1337.openvpn.log --management-query-passwords --management-hold --script-security 2 --up /Applications/Tunnelblick.app/Contents/Resources/client.up.tunnelblick.sh -m -w -d --down /Applications/Tunnelblick.app/Contents/Resources/client.down.tunnelblick.sh -m -w -d --up-restart

2011-06-25 21:04:27 OpenVPN 2.1.4 i386-apple-darwin10.7.1 [SSL] [LZO2] [PKCS11] built on Mar  1 2011

2011-06-25 21:04:27 MANAGEMENT: TCP Socket listening on 127.0.0.1:1337

2011-06-25 21:04:27 Need hold release from management interface, waiting...

2011-06-25 21:04:27 MANAGEMENT: Client connected from 127.0.0.1:1337

2011-06-25 21:04:27 MANAGEMENT: CMD 'pid'

2011-06-25 21:04:27 MANAGEMENT: CMD 'state on'

2011-06-25 21:04:27 MANAGEMENT: CMD 'state'

2011-06-25 21:04:27 MANAGEMENT: CMD 'hold release'

2011-06-25 21:04:35 MANAGEMENT: CMD 'username "Auth" "USERUSERUSER"'

2011-06-25 21:04:35 MANAGEMENT: CMD 'password [...]'

2011-06-25 21:04:35 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).

2011-06-25 21:04:35 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts

2011-06-25 21:04:35 LZO compression initialized

2011-06-25 21:04:35 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]

2011-06-25 21:04:35 Socket Buffers: R=[42080->65536] S=[9216->65536]

2011-06-25 21:04:35 MANAGEMENT: >STATE:1309028675,RESOLVE,,,

2011-06-25 21:04:35 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]

2011-06-25 21:04:35 Local Options hash (VER=V4): '22188c5b'

2011-06-25 21:04:35 Expected Remote Options hash (VER=V4): 'a8f55717'

2011-06-25 21:04:35 UDPv4 link local: [undef]

2011-06-25 21:04:35 UDPv4 link remote: IPIPIPIP:443

2011-06-25 21:04:35 MANAGEMENT: >STATE:1309028675,WAIT,,,


Thats what the log of Tunnelblick says when trying to connect.
(Some information where hidden [;)] )
Never made it to actually connect.


Any ideas?

Regards
chaser


This thread was automatically locked due to age.
Parents
  • 0
    I'm not an OpenVPN guru, but I don't see any evidence in the Astaro log that anything reached it.  Indeed, looking again, the connection attempt in the Tunnelblick log is ten minutes after the last entry in the Astaro log.

    I think I'll fall back on my standard comment - can you get rid of the Fritzbox and give the Astaro a public IP? [:)]

    Cheers - Bob
Reply
  • 0
    I'm not an OpenVPN guru, but I don't see any evidence in the Astaro log that anything reached it.  Indeed, looking again, the connection attempt in the Tunnelblick log is ten minutes after the last entry in the Astaro log.

    I think I'll fall back on my standard comment - can you get rid of the Fritzbox and give the Astaro a public IP? [:)]

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Hey Bob,
    first off all I had to realize that I am stupid [:P]
    Due to a hardware failure I had to replace the FB lately and forgot to add the PAT rule.

    So here is a log with that working (now using external port 4343 and directing it to 443 on the ASG since it seems traffic doesn't pass 443 on FB)

    2011:06:25-23:38:05 CHAS0RDE-ASG openvpn[3657]: event_wait : Interrupted system call (code=4)
    2011:06:25-23:38:05 CHAS0RDE-ASG openvpn[3657]: TCP/UDP: Closing socket
    2011:06:25-23:38:05 CHAS0RDE-ASG openvpn[3657]: /bin/ip route del 192.168.3.0/24
    2011:06:25-23:38:05 CHAS0RDE-ASG openvpn[3657]: /usr/bin/openvpn_updown.plx down tun0 1500 1558 192.168.3.1 192.168.3.2 init
    2011:06:25-23:38:06 CHAS0RDE-ASG openvpn[3657]: Closing TUN/TAP interface
    2011:06:25-23:38:06 CHAS0RDE-ASG openvpn[3657]: /bin/ip addr del dev tun0 local 192.168.3.1 peer 192.168.3.2
    2011:06:25-23:38:06 CHAS0RDE-ASG openvpn[3657]: PLUGIN_CLOSE: /usr/lib/openvpn-auth-aua.so
    2011:06:25-23:38:06 CHAS0RDE-ASG openvpn[3657]: SIGTERM[hard,] received, process exiting
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: OpenVPN 2.1.1 i686-suse-linux [SSL] [LZO2] [EPOLL] built on Sep 10 2010
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: MANAGEMENT: client_uid=0
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: MANAGEMENT: client_gid=0
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: MANAGEMENT: unix domain socket listening on /var/run/ovpn_mgmt
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: PLUGIN_INIT: POST /usr/lib/openvpn-auth-aua.so '[/usr/lib/openvpn-auth-aua.so]' intercepted=PLUGIN_AUTH_USER_PASS_VERIFY|PLUGIN_CLIENT_CONNECT|PLUGIN_CLIENT_DISCONNECT 
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: Diffie-Hellman initialized with 2048 bit key
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: TLS-Auth MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: ROUTE default_gateway=192.168.1.1
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: TUN/TAP device tun0 opened
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: TUN/TAP TX queue length set to 100
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: /bin/ip link set dev tun0 up mtu 1500
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: /bin/ip addr add dev tun0 local 192.168.3.1 peer 192.168.3.2
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: /usr/bin/openvpn_updown.plx up tun0 1500 1558 192.168.3.1 192.168.3.2 init
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: /bin/ip route add 192.168.3.0/24 via 192.168.3.2 dev tun0
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10141]: Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10180]: Socket Buffers: R=[124928->131072] S=[124928->131072]
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10180]: UDPv4 link local (bound): [undef]:4343
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10180]: UDPv4 link remote: [undef]
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10180]: MULTI: multi_init called, r=256 v=256
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10180]: IFCONFIG POOL: base=192.168.3.4 size=62
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10180]: IFCONFIG POOL LIST
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10180]: Name Surname,192.168.3.4
    2011:06:25-23:38:07 CHAS0RDE-ASG openvpn[10180]: Initialization Sequence Completed
    2011:06:25-23:41:22 CHAS0RDE-ASG openvpn[10180]: event_wait : Interrupted system call (code=4)
    2011:06:25-23:41:22 CHAS0RDE-ASG openvpn[10180]: TCP/UDP: Closing socket
    2011:06:25-23:41:22 CHAS0RDE-ASG openvpn[10180]: /bin/ip route del 192.168.3.0/24
    2011:06:25-23:41:22 CHAS0RDE-ASG openvpn[10180]: /usr/bin/openvpn_updown.plx down tun0 1500 1558 192.168.3.1 192.168.3.2 init
    2011:06:25-23:41:23 CHAS0RDE-ASG openvpn[10180]: Closing TUN/TAP interface
    2011:06:25-23:41:23 CHAS0RDE-ASG openvpn[10180]: /bin/ip addr del dev tun0 local 192.168.3.1 peer 192.168.3.2
    2011:06:25-23:41:23 CHAS0RDE-ASG openvpn[10180]: PLUGIN_CLOSE: /usr/lib/openvpn-auth-aua.so
    2011:06:25-23:41:23 CHAS0RDE-ASG openvpn[10180]: SIGTERM[hard,] received, process exiting
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: OpenVPN 2.1.1 i686-suse-linux [SSL] [LZO2] [EPOLL] built on Sep 10 2010
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: MANAGEMENT: client_uid=0
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: MANAGEMENT: client_gid=0
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: MANAGEMENT: unix domain socket listening on /var/run/ovpn_mgmt
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: PLUGIN_INIT: POST /usr/lib/openvpn-auth-aua.so '[/usr/lib/openvpn-auth-aua.so]' intercepted=PLUGIN_AUTH_USER_PASS_VERIFY|PLUGIN_CLIENT_CONNECT|PLUGIN_CLIENT_DISCONNECT 
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: Diffie-Hellman initialized with 2048 bit key
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: TLS-Auth MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: ROUTE default_gateway=192.168.1.1
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: TUN/TAP device tun0 opened
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: TUN/TAP TX queue length set to 100
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: /bin/ip link set dev tun0 up mtu 1500
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: /bin/ip addr add dev tun0 local 192.168.3.1 peer 192.168.3.2
    2011:06:25-23:41:24 CHAS0RDE-ASG openvpn[10321]: /usr/bin/openvpn_updown.plx up tun0 1500 1558 192.168.3.1 192.168.3.2 init
    2011:06:25-23:41:25 CHAS0RDE-ASG openvpn[10321]: /bin/ip route add 192.168.3.0/24 via 192.168.3.2 dev tun0
    2011:06:25-23:41:25 CHAS0RDE-ASG openvpn[10321]: Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
    2011:06:25-23:41:25 CHAS0RDE-ASG openvpn[10352]: Socket Buffers: R=[124928->131072] S=[124928->131072]
    2011:06:25-23:41:25 CHAS0RDE-ASG openvpn[10352]: UDPv4 link local (bound): [undef]:443
    2011:06:25-23:41:25 CHAS0RDE-ASG openvpn[10352]: UDPv4 link remote: [undef]
    2011:06:25-23:41:25 CHAS0RDE-ASG openvpn[10352]: MULTI: multi_init called, r=256 v=256
    2011:06:25-23:41:25 CHAS0RDE-ASG openvpn[10352]: IFCONFIG POOL: base=192.168.3.4 size=62
    2011:06:25-23:41:25 CHAS0RDE-ASG openvpn[10352]: IFCONFIG POOL LIST
    2011:06:25-23:41:25 CHAS0RDE-ASG openvpn[10352]: Name Surname,192.168.3.4
    2011:06:25-23:41:25 CHAS0RDE-ASG openvpn[10352]: Initialization Sequence Completed