Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 2830 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Remote access SSL trouble

PieterH
I just install i clean Astaro at home.
Site2site vpn's working fine!
But when i try to use a SSL-vpn to connect from my Macbook pro to my home network no data is going over the vpn. The vpn connected fine but I'm unable to ping the firewall.
When i connect to an other Astaro it's working fine.

In the firewall log no hits found on the SSL-ip pool.

In the attachments you fine the settings of the SSL-vpn.


This thread was automatically locked due to age.
  • 0
    What do you see in the SSL VPN log file in the Astaro and in the Mac client log file when you try to connect?

    Cheers - Bob
  • 0
    2012-05-19 20:31:57 *Tunnelblick: OS X 10.7.4; Tunnelblick 3.2.6 (build 2891.3007)
    2012-05-19 20:31:58 *Tunnelblick: Attempting connection with pieterh@fw.hanegraaf.info using shadow copy; Set nameserver = 1; monitoring connection
    2012-05-19 20:31:58 *Tunnelblick: /Applications/Tunnelblick.app/Contents/Resources/openvpnstart start pieterh@fw.hanegraaf.info.tblk 1337 1 0 1 0 49 -atDASNGWrdasngw 
    2012-05-19 20:31:58 *Tunnelblick: openvpnstart message: Loading tun.kext
    2012-05-19 20:31:58 *Tunnelblick: Established communication with OpenVPN
    2012-05-19 20:31:58 *Tunnelblick: Obtained VPN username and password from the Keychain
    2012-05-19 20:31:58 OpenVPN 2.2.1 i386-apple-darwin10.7.1 [SSL] [LZO2] [PKCS11] [eurephia] built on May  2 2012
    2012-05-19 20:31:58 MANAGEMENT: TCP Socket listening on 127.0.0.1:1337
    2012-05-19 20:31:58 Need hold release from management interface, waiting...
    2012-05-19 20:31:58 MANAGEMENT: Client connected from 127.0.0.1:1337
    2012-05-19 20:31:58 MANAGEMENT: CMD 'pid'
    2012-05-19 20:31:58 MANAGEMENT: CMD 'state on'
    2012-05-19 20:31:58 MANAGEMENT: CMD 'state'
    2012-05-19 20:31:58 MANAGEMENT: CMD 'hold release'
    2012-05-19 20:31:58 MANAGEMENT: CMD 'username "Auth" "pieterh"'
    2012-05-19 20:31:58 MANAGEMENT: CMD 'password [...]'
    2012-05-19 20:31:58 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    2012-05-19 20:31:58 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    2012-05-19 20:31:58 WARNING: file 'fw.hanegraaf.info.user.key' is group or others accessible
    2012-05-19 20:31:58 Control Channel MTU parms [ L:1555 D:140 EF:40 EB:0 ET:0 EL:0 ]
    2012-05-19 20:31:58 Socket Buffers: R=[65536->65536] S=[65536->65536]
    2012-05-19 20:31:58 MANAGEMENT: >STATE:1337452318,RESOLVE,,,
    2012-05-19 20:31:58 Data Channel MTU parms [ L:1555 D:1450 EF:55 EB:4 ET:0 EL:0 ]
    2012-05-19 20:31:58 Local Options hash (VER=V4): 'f0ab429a'
    2012-05-19 20:31:58 Expected Remote Options hash (VER=V4): '5e2cedd0'
    2012-05-19 20:31:58 Attempting to establish TCP connection with 85.223.53.138:443 [nonblock]
    2012-05-19 20:31:58 MANAGEMENT: >STATE:1337452318,TCP_CONNECT,,,
    2012-05-19 20:31:58 *Tunnelblick: openvpnstart: /Applications/Tunnelblick.app/Contents/Resources/openvpn/openvpn-2.2.1/openvpn --cd /Library/Application Support/Tunnelblick/Users/pieterh/pieterh@fw.hanegraaf.info.tblk/Contents/Resources --daemon --management 127.0.0.1 1337 --config /Library/Application Support/Tunnelblick/Users/pieterh/pieterh@fw.hanegraaf.info.tblk/Contents/Resources/config.ovpn --log /Library/Application Support/Tunnelblick/Logs/-SUsers-Spieterh-SLibrary-SApplication Support-STunnelblick-SConfigurations-Spieterh@fw.hanegraaf.info.tblk-SContents-SResources-Sconfig.ovpn.1_0_1_0_49.1337.openvpn.log --management-query-passwords --management-hold --script-security 2 --up /Applications/Tunnelblick.app/Contents/Resources/client.up.tunnelblick.sh -m -w -d -atDASNGWrdasngw --down /Applications/Tunnelblick.app/Contents/Resources/client.down.tunnelblick.sh -m -w -d -atDASNGWrdasngw --up-restart
    2012-05-19 20:31:59 TCP connection established with 85.223.53.138:443
    2012-05-19 20:31:59 TCPv4_CLIENT link local: [undef]
    2012-05-19 20:31:59 TCPv4_CLIENT link remote: 85.223.53.138:443
    2012-05-19 20:31:59 MANAGEMENT: >STATE:1337452319,WAIT,,,
    2012-05-19 20:31:59 MANAGEMENT: >STATE:1337452319,AUTH,,,
    2012-05-19 20:31:59 TLS: Initial packet from 85.223.53.138:443, sid=7e07c8b4 4b99df58
    2012-05-19 20:31:59 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    2012-05-19 20:32:00 VERIFY OK: depth=1, /C=nl/L=Hilversum/O=Home/CN=Home_VPN_CA/emailAddress=fw@hanegraaf.info
    2012-05-19 20:32:00 VERIFY X509NAME OK: /C=nl/L=Hilversum/O=Home/CN=fw.hanegraaf.info/emailAddress=fw@hanegraaf.info
    2012-05-19 20:32:00 VERIFY OK: depth=0, /C=nl/L=Hilversum/O=Home/CN=fw.hanegraaf.info/emailAddress=fw@hanegraaf.info
    2012-05-19 20:32:00 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    2012-05-19 20:32:00 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    2012-05-19 20:32:00 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    2012-05-19 20:32:00 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    2012-05-19 20:32:00 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    2012-05-19 20:32:00 [fw.hanegraaf.info] Peer Connection Initiated with 85.223.53.138:443
    2012-05-19 20:32:01 MANAGEMENT: >STATE:1337452321,GET_CONFIG,,,
    2012-05-19 20:32:03 SENT CONTROL [fw.hanegraaf.info]: 'PUSH_REQUEST' (status=1)
    2012-05-19 20:32:03 PUSH: Received control message: 'PUSH_REPLY,route remote_host 255.255.255.255 net_gateway,route 192.168.81.0 255.255.255.0,route 10.242.2.1,topology net30,ping 10,ping-restart 120,ifconfig 10.242.2.6 10.242.2.5'
    2012-05-19 20:32:03 OPTIONS IMPORT: timers and/or timeouts modified
    2012-05-19 20:32:03 OPTIONS IMPORT: --ifconfig/up options modified
    2012-05-19 20:32:03 OPTIONS IMPORT: route options modified
    2012-05-19 20:32:03 ROUTE default_gateway=192.168.0.1
    2012-05-19 20:32:03 TUN/TAP device /dev/tun0 opened
    2012-05-19 20:32:03 MANAGEMENT: >STATE:1337452323,ASSIGN_IP,,10.242.2.6,
    2012-05-19 20:32:03 /sbin/ifconfig tun0 delete
                                            ifconfig: ioctl (SIOCDIFADDR): Can't assign requested address
    2012-05-19 20:32:03 NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
    2012-05-19 20:32:03 /sbin/ifconfig tun0 10.242.2.6 10.242.2.5 mtu 1500 netmask 255.255.255.255 up
    2012-05-19 20:32:03 /Applications/Tunnelblick.app/Contents/Resources/client.up.tunnelblick.sh -m -w -d -atDASNGWrdasngw tun0 1500 1555 10.242.2.6 10.242.2.5 init
    2012-05-19 20:32:05 *Tunnelblick client.up.tunnelblick.sh: No network configuration changes need to be made.
    2012-05-19 20:32:05 *Tunnelblick client.up.tunnelblick.sh: Will NOT monitor for other network configuration changes.
    2012-05-19 20:32:09 *Tunnelblick: Flushed the DNS cache
    2012-05-19 20:32:09 MANAGEMENT: >STATE:1337452329,ADD_ROUTES,,,
    2012-05-19 20:32:09 /sbin/route add -net 85.223.53.138 192.168.0.1 255.255.255.255
                                            add net 85.223.53.138: gateway 192.168.0.1
    2012-05-19 20:32:09 /sbin/route add -net 192.168.81.0 10.242.2.5 255.255.255.0
                                            add net 192.168.81.0: gateway 10.242.2.5
    2012-05-19 20:32:09 /sbin/route add -net 10.242.2.1 10.242.2.5 255.255.255.255
                                            add net 10.242.2.1: gateway 10.242.2.5
    2012-05-19 20:32:09 Initialization Sequence Completed
    2012-05-19 20:32:09 MANAGEMENT: >STATE:1337452329,CONNECTED,SUCCESS,10.242.2.6,85.223.53.138
  • 0
    I'd ask for the corresponding log from the Astaro, but I bet it shows a successful connection also.  Is there anything unusual in the Intrusion Prevention log around 2012-05-19 20:32:09?

    Cheers - Bob
  • 0
    IPS is off

    As attachment i send the vpn log.
  • 0
    IPS is off, but is DoS Flooding control off? - Those blocks also are logged in the IPS file.

    Also, I'm not a Mac guy, but I know there's an issue with iOS5 where Apple dropped support for MD5.  Is there anything in the Tunnelblick forums about "Non-OpenVPN client protocol detected" recently?

    Cheers - Bob
  • 0
    Did you mean: Network Security -> Intrusion Prevention -> Anti-DoS/Flooding ?
    I will read on the tunnelbick form.
  • 0
    I just fixed this problem, the problem was i used multiple site to site and remote access ssl-vpn's on my box. now i changed the ssl ip pool on all sites, so the ip-pools are unique now. And now a can make an connection and ping my box.