Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2807 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN Problem NAT

IngoPohlschneider
Hello
I have a problem getting my remote access setup running.
The topology locks the following:

Macbook -> RouterB -> WAN 
2011-06-25 21:04:09 *Tunnelblick: OS X 10.6.8; Tunnelblick 3.1.7 (build 2190.2413); OpenVPN 2.1.4

2011-06-25 21:04:22 *Tunnelblick: Attempting connection with USERUSERUSER@DYNDYNDYN.dyndns.org; Set nameserver = 1; monitoring connection

2011-06-25 21:04:22 *Tunnelblick: /Applications/Tunnelblick.app/Contents/Resources/openvpnstart start USERUSERUSER@DYNDYNDYN.dyndns.org.ovpn 1337 1 0 0 0 49

2011-06-25 21:04:23 *Tunnelblick: openvpnstart: /Applications/Tunnelblick.app/Contents/Resources/openvpn --cd /.../Library/Application Support/Tunnelblick/Configurations --daemon --management 127.0.0.1 1337 --config /.../Library/Application Support/Tunnelblick/Configurations/chaser@chas0rdehb.dyndns.org.ovpn --log /Library/Application Support/Tunnelblick/Logs/-SUsers-SIngemar-SLibrary-SApplication Support-STunnelblick-SConfigurations-SUSERUSERUSER@DYNDYNDYN.dyndns.org.ovpn.1_0_0_0_49.1337.openvpn.log --management-query-passwords --management-hold --script-security 2 --up /Applications/Tunnelblick.app/Contents/Resources/client.up.tunnelblick.sh -m -w -d --down /Applications/Tunnelblick.app/Contents/Resources/client.down.tunnelblick.sh -m -w -d --up-restart

2011-06-25 21:04:27 OpenVPN 2.1.4 i386-apple-darwin10.7.1 [SSL] [LZO2] [PKCS11] built on Mar  1 2011

2011-06-25 21:04:27 MANAGEMENT: TCP Socket listening on 127.0.0.1:1337

2011-06-25 21:04:27 Need hold release from management interface, waiting...

2011-06-25 21:04:27 MANAGEMENT: Client connected from 127.0.0.1:1337

2011-06-25 21:04:27 MANAGEMENT: CMD 'pid'

2011-06-25 21:04:27 MANAGEMENT: CMD 'state on'

2011-06-25 21:04:27 MANAGEMENT: CMD 'state'

2011-06-25 21:04:27 MANAGEMENT: CMD 'hold release'

2011-06-25 21:04:35 MANAGEMENT: CMD 'username "Auth" "USERUSERUSER"'

2011-06-25 21:04:35 MANAGEMENT: CMD 'password [...]'

2011-06-25 21:04:35 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).

2011-06-25 21:04:35 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts

2011-06-25 21:04:35 LZO compression initialized

2011-06-25 21:04:35 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]

2011-06-25 21:04:35 Socket Buffers: R=[42080->65536] S=[9216->65536]

2011-06-25 21:04:35 MANAGEMENT: >STATE:1309028675,RESOLVE,,,

2011-06-25 21:04:35 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]

2011-06-25 21:04:35 Local Options hash (VER=V4): '22188c5b'

2011-06-25 21:04:35 Expected Remote Options hash (VER=V4): 'a8f55717'

2011-06-25 21:04:35 UDPv4 link local: [undef]

2011-06-25 21:04:35 UDPv4 link remote: IPIPIPIP:443

2011-06-25 21:04:35 MANAGEMENT: >STATE:1309028675,WAIT,,,


Thats what the log of Tunnelblick says when trying to connect.
(Some information where hidden [;)] )
Never made it to actually connect.


Any ideas?

Regards
chaser


This thread was automatically locked due to age.
Parents
  • 0 

    2011-06-25 23:40:48 *Tunnelblick: Attempting connection with user@host.dyndns.org; Set nameserver = 1; monitoring connection
    2011-06-25 23:40:48 *Tunnelblick: /Applications/Tunnelblick.app/Contents/Resources/openvpnstart start user@host.dyndns.org.ovpn 1337 1 0 0 0 49
    2011-06-25 23:40:49 *Tunnelblick: openvpnstart: /Applications/Tunnelblick.app/Contents/Resources/openvpn --cd /.../Library/Application Support/Tunnelblick/Configurations --daemon --management 127.0.0.1 1337 --config /.../Library/Application Support/Tunnelblick/Configurations/chaser@chas0rdehb.dyndns.org.ovpn --log /Library/Application Support/Tunnelblick/Logs/-SUsers-SIngemar-SLibrary-SApplication Support-STunnelblick-SConfigurations-Suser@host.dyndns.org.ovpn.1_0_0_0_49.1337.openvpn.log --management-query-passwords --management-hold --script-security 2 --up /Applications/Tunnelblick.app/Contents/Resources/client.up.tunnelblick.sh -m -w -d --down /Applications/Tunnelblick.app/Contents/Resources/client.down.tunnelblick.sh -m -w -d --up-restart
    2011-06-25 23:40:51 OpenVPN 2.1.4 i386-apple-darwin10.7.1 [SSL] [LZO2] [PKCS11] built on Mar  1 2011
    2011-06-25 23:40:51 MANAGEMENT: TCP Socket listening on 127.0.0.1:1337
    2011-06-25 23:40:51 Need hold release from management interface, waiting...
    2011-06-25 23:40:51 MANAGEMENT: Client connected from 127.0.0.1:1337
    2011-06-25 23:40:53 MANAGEMENT: CMD 'pid'
    2011-06-25 23:40:53 MANAGEMENT: CMD 'state on'
    2011-06-25 23:40:53 MANAGEMENT: CMD 'state'
    2011-06-25 23:40:53 MANAGEMENT: CMD 'hold release'
    2011-06-25 23:40:53 MANAGEMENT: CMD 'username "Auth" "user"'
    2011-06-25 23:40:53 MANAGEMENT: CMD 'password [...]'
    2011-06-25 23:40:53 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    2011-06-25 23:40:53 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    2011-06-25 23:40:53 LZO compression initialized
    2011-06-25 23:40:53 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
    2011-06-25 23:40:53 Socket Buffers: R=[42080->65536] S=[9216->65536]
    2011-06-25 23:40:53 MANAGEMENT: >STATE:1309038053,RESOLVE,,,
    2011-06-25 23:40:53 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
    2011-06-25 23:40:53 Local Options hash (VER=V4): '22188c5b'
    2011-06-25 23:40:53 Expected Remote Options hash (VER=V4): 'a8f55717'
    2011-06-25 23:40:53 UDPv4 link local: [undef]
    2011-06-25 23:40:53 UDPv4 link remote: 92.76.224.130:4343
    2011-06-25 23:40:53 MANAGEMENT: >STATE:1309038053,WAIT,,,
    2011-06-25 23:40:53 *Tunnelblick: Obtained VPN username and password from the Keychain
    2011-06-25 23:41:34 event_wait : Interrupted system call (code=4)
    2011-06-25 23:41:34 TCP/UDP: Closing socket
    2011-06-25 23:41:34 SIGTERM[hard,] received, process exiting
    2011-06-25 23:41:34 MANAGEMENT: >STATE:1309038094,EXITING,SIGTERM,,
    2011-06-25 23:41:36 *Tunnelblick: Flushed the DNS cache
    2011-06-25 23:41:38 *Tunnelblick: Attempting connection with user@host.dyndns.org; Set nameserver = 1; monitoring connection
    2011-06-25 23:41:38 *Tunnelblick: /Applications/Tunnelblick.app/Contents/Resources/openvpnstart start chaser@chas0rdehb.dyndns.org.ovpn 1338 1 0 0 0 49
    2011-06-25 23:41:39 *Tunnelblick: openvpnstart: /Applications/Tunnelblick.app/Contents/Resources/openvpn --cd /.../Library/Application Support/Tunnelblick/Configurations --daemon --management 127.0.0.1 1338 --config /.../Library/Application Support/Tunnelblick/Configurations/user@host.dyndns.org.ovpn --log /Library/Application Support/Tunnelblick/Logs/-SUsers-SIngemar-SLibrary-SApplication Support-STunnelblick-SConfigurations-Suser@host.dyndns.org.ovpn.1_0_0_0_49.1338.openvpn.log --management-query-passwords --management-hold --script-security 2 --up /Applications/Tunnelblick.app/Contents/Resources/client.up.tunnelblick.sh -m -w -d --down /Applications/Tunnelblick.app/Contents/Resources/client.down.tunnelblick.sh -m -w -d --up-restart
    2011-06-25 23:41:40 OpenVPN 2.1.4 i386-apple-darwin10.7.1 [SSL] [LZO2] [PKCS11] built on Mar  1 2011
    2011-06-25 23:41:40 MANAGEMENT: TCP Socket listening on 127.0.0.1:1338
    2011-06-25 23:41:40 Need hold release from management interface, waiting...
    2011-06-25 23:41:40 MANAGEMENT: Client connected from 127.0.0.1:1338
    2011-06-25 23:41:40 MANAGEMENT: CMD 'pid'
    2011-06-25 23:41:40 MANAGEMENT: CMD 'state on'
    2011-06-25 23:41:40 MANAGEMENT: CMD 'state'
    2011-06-25 23:41:40 MANAGEMENT: CMD 'hold release'
    2011-06-25 23:41:40 MANAGEMENT: CMD 'username "Auth" "user"'
    2011-06-25 23:41:40 MANAGEMENT: CMD 'password [...]'
    2011-06-25 23:41:40 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    2011-06-25 23:41:40 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    2011-06-25 23:41:40 LZO compression initialized
    2011-06-25 23:41:40 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
    2011-06-25 23:41:40 Socket Buffers: R=[42080->65536] S=[9216->65536]
    2011-06-25 23:41:40 MANAGEMENT: >STATE:1309038100,RESOLVE,,,
    2011-06-25 23:41:40 *Tunnelblick: Obtained VPN username and password from the Keychain
    2011-06-25 23:41:41 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
    2011-06-25 23:41:41 Local Options hash (VER=V4): '22188c5b'
    2011-06-25 23:41:41 Expected Remote Options hash (VER=V4): 'a8f55717'
    2011-06-25 23:41:41 UDPv4 link local: [undef]
    2011-06-25 23:41:41 UDPv4 link remote: 92.76.224.130:4343
    2011-06-25 23:41:41 MANAGEMENT: >STATE:1309038101,WAIT,,,
    2011-06-25 23:42:42 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    2011-06-25 23:42:42 TLS Error: TLS handshake failed
    2011-06-25 23:42:42 TCP/UDP: Closing socket
    2011-06-25 23:42:42 SIGUSR1[soft,tls-error] received, process restarting
    2011-06-25 23:42:42 MANAGEMENT: >STATE:1309038162,RECONNECTING,tls-error,,
    2011-06-25 23:42:42 MANAGEMENT: CMD 'hold release'
    2011-06-25 23:42:42 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    2011-06-25 23:42:42 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    2011-06-25 23:42:42 Re-using SSL/TLS context
    2011-06-25 23:42:42 LZO compression initialized


    It says that the TLS handshake fails if i get that right

    Any thoughts?

    The FB needs to stay there as NAT Router because there are some users in the .1.x network which need to gain internet access w/ that [:(]
    Besides it also adds another layer of "security" as a secondary packet filter + (irony on) the awesome security feature (irony off) of NAT
Reply
  • 0 

    2011-06-25 23:40:48 *Tunnelblick: Attempting connection with user@host.dyndns.org; Set nameserver = 1; monitoring connection
    2011-06-25 23:40:48 *Tunnelblick: /Applications/Tunnelblick.app/Contents/Resources/openvpnstart start user@host.dyndns.org.ovpn 1337 1 0 0 0 49
    2011-06-25 23:40:49 *Tunnelblick: openvpnstart: /Applications/Tunnelblick.app/Contents/Resources/openvpn --cd /.../Library/Application Support/Tunnelblick/Configurations --daemon --management 127.0.0.1 1337 --config /.../Library/Application Support/Tunnelblick/Configurations/chaser@chas0rdehb.dyndns.org.ovpn --log /Library/Application Support/Tunnelblick/Logs/-SUsers-SIngemar-SLibrary-SApplication Support-STunnelblick-SConfigurations-Suser@host.dyndns.org.ovpn.1_0_0_0_49.1337.openvpn.log --management-query-passwords --management-hold --script-security 2 --up /Applications/Tunnelblick.app/Contents/Resources/client.up.tunnelblick.sh -m -w -d --down /Applications/Tunnelblick.app/Contents/Resources/client.down.tunnelblick.sh -m -w -d --up-restart
    2011-06-25 23:40:51 OpenVPN 2.1.4 i386-apple-darwin10.7.1 [SSL] [LZO2] [PKCS11] built on Mar  1 2011
    2011-06-25 23:40:51 MANAGEMENT: TCP Socket listening on 127.0.0.1:1337
    2011-06-25 23:40:51 Need hold release from management interface, waiting...
    2011-06-25 23:40:51 MANAGEMENT: Client connected from 127.0.0.1:1337
    2011-06-25 23:40:53 MANAGEMENT: CMD 'pid'
    2011-06-25 23:40:53 MANAGEMENT: CMD 'state on'
    2011-06-25 23:40:53 MANAGEMENT: CMD 'state'
    2011-06-25 23:40:53 MANAGEMENT: CMD 'hold release'
    2011-06-25 23:40:53 MANAGEMENT: CMD 'username "Auth" "user"'
    2011-06-25 23:40:53 MANAGEMENT: CMD 'password [...]'
    2011-06-25 23:40:53 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    2011-06-25 23:40:53 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    2011-06-25 23:40:53 LZO compression initialized
    2011-06-25 23:40:53 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
    2011-06-25 23:40:53 Socket Buffers: R=[42080->65536] S=[9216->65536]
    2011-06-25 23:40:53 MANAGEMENT: >STATE:1309038053,RESOLVE,,,
    2011-06-25 23:40:53 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
    2011-06-25 23:40:53 Local Options hash (VER=V4): '22188c5b'
    2011-06-25 23:40:53 Expected Remote Options hash (VER=V4): 'a8f55717'
    2011-06-25 23:40:53 UDPv4 link local: [undef]
    2011-06-25 23:40:53 UDPv4 link remote: 92.76.224.130:4343
    2011-06-25 23:40:53 MANAGEMENT: >STATE:1309038053,WAIT,,,
    2011-06-25 23:40:53 *Tunnelblick: Obtained VPN username and password from the Keychain
    2011-06-25 23:41:34 event_wait : Interrupted system call (code=4)
    2011-06-25 23:41:34 TCP/UDP: Closing socket
    2011-06-25 23:41:34 SIGTERM[hard,] received, process exiting
    2011-06-25 23:41:34 MANAGEMENT: >STATE:1309038094,EXITING,SIGTERM,,
    2011-06-25 23:41:36 *Tunnelblick: Flushed the DNS cache
    2011-06-25 23:41:38 *Tunnelblick: Attempting connection with user@host.dyndns.org; Set nameserver = 1; monitoring connection
    2011-06-25 23:41:38 *Tunnelblick: /Applications/Tunnelblick.app/Contents/Resources/openvpnstart start chaser@chas0rdehb.dyndns.org.ovpn 1338 1 0 0 0 49
    2011-06-25 23:41:39 *Tunnelblick: openvpnstart: /Applications/Tunnelblick.app/Contents/Resources/openvpn --cd /.../Library/Application Support/Tunnelblick/Configurations --daemon --management 127.0.0.1 1338 --config /.../Library/Application Support/Tunnelblick/Configurations/user@host.dyndns.org.ovpn --log /Library/Application Support/Tunnelblick/Logs/-SUsers-SIngemar-SLibrary-SApplication Support-STunnelblick-SConfigurations-Suser@host.dyndns.org.ovpn.1_0_0_0_49.1338.openvpn.log --management-query-passwords --management-hold --script-security 2 --up /Applications/Tunnelblick.app/Contents/Resources/client.up.tunnelblick.sh -m -w -d --down /Applications/Tunnelblick.app/Contents/Resources/client.down.tunnelblick.sh -m -w -d --up-restart
    2011-06-25 23:41:40 OpenVPN 2.1.4 i386-apple-darwin10.7.1 [SSL] [LZO2] [PKCS11] built on Mar  1 2011
    2011-06-25 23:41:40 MANAGEMENT: TCP Socket listening on 127.0.0.1:1338
    2011-06-25 23:41:40 Need hold release from management interface, waiting...
    2011-06-25 23:41:40 MANAGEMENT: Client connected from 127.0.0.1:1338
    2011-06-25 23:41:40 MANAGEMENT: CMD 'pid'
    2011-06-25 23:41:40 MANAGEMENT: CMD 'state on'
    2011-06-25 23:41:40 MANAGEMENT: CMD 'state'
    2011-06-25 23:41:40 MANAGEMENT: CMD 'hold release'
    2011-06-25 23:41:40 MANAGEMENT: CMD 'username "Auth" "user"'
    2011-06-25 23:41:40 MANAGEMENT: CMD 'password [...]'
    2011-06-25 23:41:40 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    2011-06-25 23:41:40 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    2011-06-25 23:41:40 LZO compression initialized
    2011-06-25 23:41:40 Control Channel MTU parms [ L:1558 D:138 EF:38 EB:0 ET:0 EL:0 ]
    2011-06-25 23:41:40 Socket Buffers: R=[42080->65536] S=[9216->65536]
    2011-06-25 23:41:40 MANAGEMENT: >STATE:1309038100,RESOLVE,,,
    2011-06-25 23:41:40 *Tunnelblick: Obtained VPN username and password from the Keychain
    2011-06-25 23:41:41 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
    2011-06-25 23:41:41 Local Options hash (VER=V4): '22188c5b'
    2011-06-25 23:41:41 Expected Remote Options hash (VER=V4): 'a8f55717'
    2011-06-25 23:41:41 UDPv4 link local: [undef]
    2011-06-25 23:41:41 UDPv4 link remote: 92.76.224.130:4343
    2011-06-25 23:41:41 MANAGEMENT: >STATE:1309038101,WAIT,,,
    2011-06-25 23:42:42 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    2011-06-25 23:42:42 TLS Error: TLS handshake failed
    2011-06-25 23:42:42 TCP/UDP: Closing socket
    2011-06-25 23:42:42 SIGUSR1[soft,tls-error] received, process restarting
    2011-06-25 23:42:42 MANAGEMENT: >STATE:1309038162,RECONNECTING,tls-error,,
    2011-06-25 23:42:42 MANAGEMENT: CMD 'hold release'
    2011-06-25 23:42:42 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    2011-06-25 23:42:42 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    2011-06-25 23:42:42 Re-using SSL/TLS context
    2011-06-25 23:42:42 LZO compression initialized


    It says that the TLS handshake fails if i get that right

    Any thoughts?

    The FB needs to stay there as NAT Router because there are some users in the .1.x network which need to gain internet access w/ that [:(]
    Besides it also adds another layer of "security" as a secondary packet filter + (irony on) the awesome security feature (irony off) of NAT
Children
No Data