SSL Remote Access / not connected !

Thanks alot dear
i will try to restore the old backup , , thanks Again [:)]

Dears , i opened a case with our reseler and till now no result [:(] 
I am still unable to downgrade the version to 8.200 , i already have 8.300 for ASG120 , i couldnt also restore to an ole configuration , my co-workers in UAE are still unable to connect to Astaro regarding the following error :

Tue Feb 07 13:34:49 2012 OpenVPN 2.1.1 i686-pc-cygwin [SSL] [LZO2] built on May  7 2010
Tue Feb 07 13:34:54 2012 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
Tue Feb 07 13:34:54 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Feb 07 13:34:54 2012 LZO compression initialized
Tue Feb 07 13:34:54 2012 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
Tue Feb 07 13:34:54 2012 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Feb 07 13:34:54 2012 Local Options hash (VER=V4): '619088b2'
Tue Feb 07 13:34:54 2012 Expected Remote Options hash (VER=V4): 'a4f12474'
Tue Feb 07 13:34:54 2012 Attempting to establish TCP connection with 145.44.174.141:443
Tue Feb 07 13:34:55 2012 TCP connection established with 145.44.174.141:443
Tue Feb 07 13:34:55 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Feb 07 13:34:55 2012 TCPv4_CLIENT link local: [undef]
Tue Feb 07 13:34:55 2012 TCPv4_CLIENT link remote: 145.44.174.141:443
Tue Feb 07 13:34:55 2012 TLS: Initial packet from 145.44.174.141:443, sid=01952ad3 abdb7373
Tue Feb 07 13:34:55 2012 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Feb 07 13:35:55 2012 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Feb 07 13:35:55 2012 TLS Error: TLS handshake failed
Tue Feb 07 13:35:55 2012 Fatal TLS error (check_tls_errors_co), restarting
Tue Feb 07 13:35:55 2012 TCP/UDP: Closing socket
Tue Feb 07 13:35:55 2012 SIGUSR1[soft,tls-error] received, process restarting
Tue Feb 07 13:35:55 2012 Restart pause, 5 second(s)
Tue Feb 07 13:36:00 2012 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
Tue Feb 07 13:36:00 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Feb 07 13:36:00 2012 Re-using SSL/TLS context
Tue Feb 07 13:36:00 2012 LZO compression initialized
and repeated again and agian ,
i am trying to know what thats mean ? TLS Error: TLS handshake failed
and Fatal TLS error (check_tls_errors_co), restarting

any one has any idea about ?

any one has any idea about ?

I would try changing the port to 1194 on your ASG and your clients(-config) first. You can choose also another port which isn't in use by other services. 
"You cannot use port 10443, the ACC Gateway Manager port 4422, or the port used by the WebAdmin interface."

This is was I found in a fast research: 

• A perimeter firewall on the server's network is filtering out incoming OpenVPN packets (by default OpenVPN uses UDP or TCP port number 1194).
  
• A software firewall running on the OpenVPN server machine itself is filtering incoming connections on port 1194. Be aware that many OSes will block incoming connections by default, unless configured otherwise.
  
• A NAT gateway on the server's network does not have a port forward rule for TCP/UDP 1194 to the internal address of the OpenVPN server machine.
  
• The OpenVPN client config does not have the correct server address in its config file. The remote directive in the client config file must point to either the server itself or the public IP address of the server network's gateway.
  
• Another possible cause is that the windows firewall is blocking access for the openvpn.exe binary. You may need to whitelist (add it to the "Exceptions" list) it for OpenVPN to work.
  

Uh, and be carefull with your subnet for the SSL pool: "the netmask must not be greater than 29 bits, for OpenVPN cannot handle address pools whose  netmask is /30, /31, or /32."

Dear ,
Thanks for your reply , appreciate it ,
i tried changing the port , but the same [:(]

I found a new log !

Thu Feb 09 15:11:49 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Feb 09 15:11:49 2012 TCPv4_CLIENT link local: [undef]
Thu Feb 09 15:11:49 2012 TCPv4_CLIENT link remote: 195.44.44.141:443
Thu Feb 09 15:11:49 2012 TLS: Initial packet from 195.44.44.141:443, sid=4066ed7a 0be38271
Thu Feb 09 15:11:49 2012 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

and freeze for 1 minute , then : 

Thu Feb 09 15:12:22 2012 read TCPv4_CLIENT: Connection timed out (WSAETIMEDOUT) (code=10060)
Thu Feb 09 15:12:22 2012 Connection reset, restarting [-1]
Thu Feb 09 15:12:22 2012 TCP/UDP: Closing socket
Thu Feb 09 15:12:22 2012 SIGUSR1[soft,connection-reset] received, process restarting
Thu Feb 09 15:12:22 2012 Restart pause, 5 second(s)
Thu Feb 09 15:12:27 2012 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
Thu Feb 09 15:12:27 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Feb 09 15:12:27 2012 Re-using SSL/TLS context
Thu Feb 09 15:12:27 2012 LZO compression initialized
Thu Feb 09 15:12:27 2012 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
Thu Feb 09 15:12:27 2012 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Feb 09 15:12:27 2012 Local Options hash (VER=V4): '619088b2'
Thu Feb 09 15:12:27 2012 Expected Remote Options hash (VER=V4): 'a4f12474'


Do you have any idea please ?

Sami, I get the feeling that your coworkers are behind a transparent SSL proxy or packetfilter that prohibits the connection to be established. Could you try again with UDP/53? You'll have to install new configs on the clients, for that to work, as well.

Do you see any connection attempts in the server log file at all?

i feel the same , they are in UAE and theier ISP could have such those proxy server
what is the idea of using port 53 ? could you pls explain ?
i see attempts but not successfull , as the socket starting again and againg ..
i will try using port 53 and back to you
thanks a lot [:)]

I got an error [:(] 
the port 53 is reserved for DNS Service !.
what should i do now ?

Hello , Any update guys ?
I am still stuck in this problem ,
i re installed the 8.100 Ver, the same [:(]
some laptops equipped woth Astaor SSL VPN application works well and connect to 
Astaro 
even it takes more time , but some laptops are not for no reason ,
just gives me :


Thu Feb 09 15:11:49 2012 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

and freeze for 1 minute , then : 

Thu Feb 09 15:12:22 2012 read TCPv4_CLIENT: Connection timed out (WSAETIMEDOUT) (code=10060)
Thu Feb 09 15:12:22 2012 Connection reset, restarting [-1]
Thu Feb 09 15:12:22 2012 TCP/UDP: Closing socket
Thu Feb 09 15:12:22 2012 SIGUSR1[soft,connection-reset] received, process restarting
Thu Feb 09 15:12:22 2012 Restart pause, 5 second(s)
Thu Feb 09 15:12:27 2012 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
Thu Feb 09 15:12:27 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Feb 09 15:12:27 2012 Re-using SSL/TLS context
Thu Feb 09 15:12:27 2012 LZO compression initialized
Thu Feb 09 15:12:27 2012 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
Thu Feb 09 15:12:27 2012 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Feb 09 15:12:27 2012 Local Options hash (VER=V4): '619088b2'
Thu Feb 09 15:12:27 2012 Expected Remote Options hash (VER=V4): 'a4f12474'

any update experts ?
Thanking you in advance ..

Sami, after seeing your logs above, I agree with d12fk.  Have you tried to connect to the SSL VPN yourself?

Another thought - if your office in UAE has an inexpensive router, only one person will be able to connect to you via VPN at a time.  After the first person connects, a second would be able to send a request to the Astaro, but their router would send the response to the first person.  That could cause the timeout you saw.

That is to say that the problem is not the Astaro or your configuration.  The problem is in UAE.  It's either a firewall blocking something or a router failing to deliver something.

It might be worth investing in a RED to connect that office.

Cheers - Bob

Hi Bob
Thanks alot for your mail ,
the strange thing is that they were able for 3 employees in UAE to connect together to Astaro , that was a month ago before this problem .
then my CEO was in Oman and also tried with the same log above ,
but when i try , i could establish a connection ! , and all is right !

can i reset all the settings and Astaro itself ? 
is there a way to build it again from scratch ?
i am hopeless , and the point which we bought Astaro for ( SSL VPN ) is not working well [:(]

Thanks again for your reply
appreciate it .