Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 2202 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to site in 8.200

alexis101
I posted this in the beta forum but the forum got deleted so here it is again:
Hi,
Not sure if I'm in the right forum but here it is. I just installed the Beta of 8.200 on my firewall at home. I have 3 ssl site-to-site vpn on this box. It was working great on 8.103 but now i can only connect one ssl vpn at the time. The other 2 will show ERR_MGT. But if i disabled the one connected than one of the other 2 will be able to connect....
Is this a bug? Or do I need to change some configuration for the 8.200.
Thanks


This thread was automatically locked due to age.
Parents
  • 0
    A few possible things that could be happening here are:
    1)  There may be a bug in the 8.200 soft-release code.
    2)  Your site-to-site configuration may not have been transferred properly during the upgrade.
    3)  There is a known issue in 8.200 where spoof protection is dropping good packets.

    If number one, about the only thing that you can do is wait for 8.200 GA (final), which is expected by 17 August.  If you are a paid business licensee, you can create a support ticket.

    If number two, a potential fix is to delete and re-create your site-to-site connections.

    If number three, you'd see dropped packets in the firewall log.  The workaround for this would be to turn off spoof protection until this issue is fixed.
Reply
  • 0
    A few possible things that could be happening here are:
    1)  There may be a bug in the 8.200 soft-release code.
    2)  Your site-to-site configuration may not have been transferred properly during the upgrade.
    3)  There is a known issue in 8.200 where spoof protection is dropping good packets.

    If number one, about the only thing that you can do is wait for 8.200 GA (final), which is expected by 17 August.  If you are a paid business licensee, you can create a support ticket.

    If number two, a potential fix is to delete and re-create your site-to-site connections.

    If number three, you'd see dropped packets in the firewall log.  The workaround for this would be to turn off spoof protection until this issue is fixed.
Children
  • 0 in reply to Scott_Klassen
    I´ll wait for GA final ;-)
  • 0 in reply to n00b_01
    This is the log when I star a second vpn connection. 
    2011:08:12-10:53:08 maison openvpn[15695]: Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key

    2011:08:12-10:53:08 maison openvpn[15695]: Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication

    2011:08:12-10:53:08 maison openvpn[15695]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

    2011:08:12-11:53:07 maison openvpn[15695]: TLS: tls_process: killed expiring key

    2011:08:12-14:36:31 maison openvpn[15695]: MANAGEMENT: Client connected from /var/run/openvpn_mgmt_REF_SslCliEda

    2011:08:12-14:36:31 maison openvpn[15695]: MANAGEMENT: CMD 'state'

    2011:08:12-14:36:31 maison openvpn[15695]: MANAGEMENT: Client disconnected

    2011:08:12-14:36:33 maison openvpn[15695]: MANAGEMENT: Client connected from /var/run/openvpn_mgmt_REF_SslCliEda

    2011:08:12-14:36:33 maison openvpn[15695]: MANAGEMENT: CMD 'state'

    2011:08:12-14:36:33 maison openvpn[15695]: MANAGEMENT: Client disconnected

    2011:08:12-14:36:49 maison openvpn[9650]: OpenVPN 2.1.1 i686-suse-linux [SSL] [LZO2] [EPOLL] built on Mar 17 2011

    2011:08:12-14:36:49 maison openvpn[9650]: MANAGEMENT: client_uid=0

    2011:08:12-14:36:49 maison openvpn[9650]: MANAGEMENT: client_gid=0

    2011:08:12-14:36:49 maison openvpn[9650]: MANAGEMENT: unix domain socket listening on /var/run/openvpn_mgmt_REF_fmVgeBFqNR

    2011:08:12-14:36:49 maison openvpn[9650]: WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).

    2011:08:12-14:36:49 maison openvpn[9650]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts

    2011:08:12-14:36:49 maison openvpn[9650]: LZO compression initialized

    2011:08:12-14:36:49 maison openvpn[9650]: Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]

    2011:08:12-14:36:49 maison openvpn[9650]: Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]

    2011:08:12-14:36:49 maison openvpn[9650]: Local Options hash (VER=V4): '619088b2'

    2011:08:12-14:36:49 maison openvpn[9650]: Expected Remote Options hash (VER=V4): 'a4f12474'

    2011:08:12-14:36:49 maison openvpn[9651]: Attempting to establish TCP connection with ***.***.***.***:443 [nonblock]

    2011:08:12-14:36:50 maison openvpn[9651]: TCP connection established with ***.***.***.***:443

    2011:08:12-14:36:50 maison openvpn[9651]: Socket Buffers: R=[87380->131072] S=[16384->131072]

    2011:08:12-14:36:50 maison openvpn[9651]: TCPv4_CLIENT link local: [undef]

    2011:08:12-14:36:50 maison openvpn[9651]: TCPv4_CLIENT link remote: ***.***.***.***:443

    2011:08:12-14:36:50 maison openvpn[9651]: TLS: Initial packet from ***.***.***.***:443, sid=097018cd fb9705ce

    2011:08:12-14:36:50 maison openvpn[9651]: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

    2011:08:12-14:36:52 maison openvpn[9651]: VERIFY OK: depth=1, /C=ca/L=Montreal/O=corpo_ned/CN=corpo_ned_VPN_CA/emailAddress=achanger@achanger.lop

    2011:08:12-14:36:52 maison openvpn[9651]: VERIFY X509NAME OK: /C=ca/L=Montreal/O=corpo_ned/CN=***.***.***.***/emailAddress=achanger@achanger.lop

    2011:08:12-14:36:52 maison openvpn[9651]: VERIFY OK: depth=0, /C=ca/L=Montreal/O=corpo_ned/CN=***.***.***.***/emailAddress=achanger@achanger.lop

    2011:08:12-14:36:55 maison openvpn[9651]: Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key

    2011:08:12-14:36:55 maison openvpn[9651]: Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication

    2011:08:12-14:36:55 maison openvpn[9651]: Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key

    2011:08:12-14:36:55 maison openvpn[9651]: Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication

    2011:08:12-14:36:55 maison openvpn[9651]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

    2011:08:12-14:36:55 maison openvpn[9651]: [***.***.***.***] Peer Connection Initiated with ***.***.***.***:443

    2011:08:12-14:36:57 maison openvpn[9651]: SENT CONTROL [***.***.***.***]: 'PUSH_REQUEST' (status=1)

    2011:08:12-14:36:58 maison openvpn[9651]: PUSH: Received control message: 'PUSH_REPLY,route 192.168.5.0 255.255.255.0,route 192.168.20.0 255.255.255.0,route 192.168.21.0 255.255.255.0,route 192.168.4.0 255.255.255.0,route 10.242.2.0 255.255.255.0,setenv-safe remote_network_1 192.168.5.0/24,setenv-safe remote_network_2 192.168.20.0/24,setenv-safe remote_network_3 192.168.21.0/24,setenv-safe remote_network_4 192.168.4.0/24,setenv-safe remote_network_5 10.242.2.0/24,setenv-safe local_network_1 192.168.2.0/24,setenv-safe local_network_2 192.168.1.0/24,ifconfig 10.242.2.6 10.242.2.5'

    2011:08:12-14:36:58 maison openvpn[9651]: OPTIONS IMPORT: --ifconfig/up options modified

    2011:08:12-14:36:58 maison openvpn[9651]: OPTIONS IMPORT: route options modified

    2011:08:12-14:36:58 maison openvpn[9651]: OPTIONS IMPORT: environment modified

    2011:08:12-14:36:58 maison openvpn[9651]: ROUTE default_gateway=***.***.***.***

    2011:08:12-14:36:58 maison openvpn[9651]: TUN/TAP device tun0 opened

    2011:08:12-14:36:58 maison openvpn[9651]: TUN/TAP TX queue length set to 100

    2011:08:12-14:36:58 maison openvpn[9651]: /bin/ip link set dev tun0 up mtu 1500

    2011:08:12-14:36:58 maison openvpn[9651]: /bin/ip addr add dev tun0 local 10.242.2.6 peer 10.242.2.5

    2011:08:12-14:36:58 maison openvpn[9651]: /bin/ip route add 192.168.5.0/24 via 10.242.2.5 dev tun0

    2011:08:12-14:36:58 maison openvpn[9651]: /bin/ip route add 192.168.20.0/24 via 10.242.2.5 dev tun0

    2011:08:12-14:36:58 maison openvpn[9651]: /bin/ip route add 192.168.21.0/24 via 10.242.2.5 dev tun0

    2011:08:12-14:36:58 maison openvpn[9651]: /bin/ip route add 192.168.4.0/24 via 10.242.2.5 dev tun0

    2011:08:12-14:36:58 maison openvpn[9651]: /bin/ip route add 10.242.2.0/24 via 10.242.2.5 dev tun0

    2011:08:12-14:36:58 maison openvpn[9651]: Initialization Sequence Completed 

    I believe this is what kill the already established connection:  

    TLS: tls_process: killed expiring key 

    I already tried to redownload the vpn configuration with no success.