Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 1 subscriber
  • Views 21885 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN stopped working

Flums
We did a software update from Astaro 8.302 to 8.305 last week, and now nobody can connect to the SSL VPN.

From SSL VPN log on Astaro:

2012:07:25-06:15:10 cr01 openvpn[23164]: MULTI: multi_create_instance called
2012:07:25-06:15:10 cr01 openvpn[23164]: Re-using SSL/TLS context
2012:07:25-06:15:10 cr01 openvpn[23164]: LZO compression initialized
2012:07:25-06:15:10 cr01 openvpn[23164]: Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
2012:07:25-06:15:10 cr01 openvpn[23164]: Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
2012:07:25-06:15:10 cr01 openvpn[23164]: Local Options hash (VER=V4): 'a4f12474'
2012:07:25-06:15:10 cr01 openvpn[23164]: Expected Remote Options hash (VER=V4): '619088b2'
2012:07:25-06:15:10 cr01 openvpn[23164]: TCP connection established with 10.0.1.36:49307
2012:07:25-06:15:10 cr01 openvpn[23164]: Socket Buffers: R=[131072->131072] S=[131072->131072]
2012:07:25-06:15:10 cr01 openvpn[23164]: TCPv4_SERVER link local: [undef]
2012:07:25-06:15:10 cr01 openvpn[23164]: TCPv4_SERVER link remote: 10.0.1.36:49307
2012:07:25-06:15:11 cr01 openvpn[23164]: 10.0.1.36:49307 TLS: Initial packet from 10.0.1.36:49307, sid=886d5c93 0978948d
2012:07:25-06:15:11 cr01 openvpn[23164]: 10.0.1.36:49307 Connection reset, restarting [0]
2012:07:25-06:15:11 cr01 openvpn[23164]: 10.0.1.36:49307 SIGUSR1[soft,connection-reset] received, client-instance restarting
2012:07:25-06:15:11 cr01 openvpn[23164]: TCP/UDP: Closing socket

And this keeps repeating. I have tried the following:
* Restart Astaro
* Connect to an ip, not the hostname
* Regenerate VPN Signning CA
* Tried multiple users/systems.

We mostly use Viscosity for VPN from Mac's.

Anyone got an idea?


This thread was automatically locked due to age.
  • 0
    Do you have logs from the client side?
  • 0 in reply to UrsWeiss
    Do you have logs from the client side?


    Thanks for the reply, here it is: (some info-text is in norwegian, but not the important part i think)

    Jul 25 09:32:01: Viscosity Mac 1.4 (1070)
    Jul 25 09:32:01: Viscosity OpenVPN Engine Started
    Jul 25 09:32:01: Running on Mac OS X 10.6.8
    Jul 25 09:32:01: ---------
    Jul 25 09:32:01: Sjekker tilgjengelighetsstatus for tilkobling...
    Jul 25 09:32:01: Tilkoblingen er tilgjengelig. Forsøker tilkobling.
    Jul 25 09:32:03: OpenVPN 2.3_alpha2 i386-apple-darwin10.8.0 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110522-1 (2.2.0)] built on Jul 24 2012
    Jul 25 09:32:04: WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Jul 25 09:32:04: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Jul 25 09:32:04: Attempting to establish TCP connection with [AF_INET]XX:XX:XX:XX:443 [nonblock]
    Jul 25 09:32:06: TCP connection established with [AF_INET]XX:XX:XX:XX:443
    Jul 25 09:32:06: TCPv4_CLIENT link local: [undef]
    Jul 25 09:32:06: TCPv4_CLIENT link remote: [AF_INET]XX:XX:XX:XX:443
    Jul 25 09:32:06: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Jul 25 09:32:06: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Jul 25 09:32:06: TLS Error: TLS object -> incoming plaintext read error
    Jul 25 09:32:06: TLS Error: TLS handshake failed
    Jul 25 09:32:06: Fatal TLS error (check_tls_errors_co), restarting
    Jul 25 09:32:06: SIGUSR1[soft,tls-error] received, process restarting
    Jul 25 09:33:07: WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Jul 25 09:33:07: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Jul 25 09:33:07: Attempting to establish TCP connection with [AF_INET]XX:XX:XX:XX:443 [nonblock]
    Jul 25 09:33:08: TCP connection established with [AF_INET]XX:XX:XX:XX:443
    Jul 25 09:33:08: TCPv4_CLIENT link local: [undef]
    Jul 25 09:33:08: TCPv4_CLIENT link remote: [AF_INET]XX:XX:XX:XX:443
    Jul 25 09:33:08: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Jul 25 09:33:08: TLS Error: TLS object -> incoming plaintext read error
    Jul 25 09:33:08: TLS Error: TLS handshake failed
    Jul 25 09:33:08: Fatal TLS error (check_tls_errors_co), restarting
    Jul 25 09:33:08: SIGUSR1[soft,tls-error] received, process restarting


    IP address is changed out with XX:XX:XX:XX
  • 0 in reply to Flums
    I would try that first:


    • Make a copy of the current OpenSSL config on a client
    • Redownload the config from user portal
    • If the downloaded config works fine, check whats the difference between these two


    You're using an FQDN to connect to the Astaro (SSL VPN), not an IP address, right?
  • 0 in reply to UrsWeiss
    I would try that first:


    • Make a copy of the current OpenSSL config on a client
    • Redownload the config from user portal
    • If the downloaded config works fine, check whats the difference between these two


    You're using an FQDN to connect to the Astaro (SSL VPN), not an IP address, right?


    I've tried that multiple times without any luck.

    Yes, we have always used FQDN for connecting to the Astaro.
  • 0 in reply to Flums
    Tried a fresh client on Ubuntu now, and confirmed that it works there, just not on any os x. Not sure why.....
  • 0
    Hi, Flums, and welcome to the User BB!

    It always reduces the things one must consider when the client and server logs are for the same connection attempt, so please do that in the future.  Also, always state the exact version of the client OS as you did for Astaro 8.305.

    Since you already generated new certificates (did you also regenerate the VPN Signing CA beforehand?) I guess in this case that the issue might be related to:
    OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables


    Cheers - Bob
  • 0
    Hi Flums,

    I don't know Mac OS well enough but maybe it stores the certificates and CA's  somewhere and now uses the old certs/CA's.

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Same Problem here. MacOSX 10.8 / Viscosity 1.4

    Content form Viscosity Board:
    "Issue 3: TLS Error: TLS handshake failed

    If you see an error message similar to the above message, typically accompanied by another message like "TLS_ERROR: BIO read tls_read_plaintext error:
    error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate
    verify failed" you are most likely trying to connect to an Astaro or Watchguard server. Unfortunately the "tls-remote" and/or "remote-cert-eku" commands these servers generate are out of date and no longer accepted by the latest version of OpenSSL and OpenVPN. If updating to the latest beta version doesn't help, you will need to modify one or both of these commands to be correct.

    The issue is similar to the issue linked below on the OpenVPN forums, so we recommend users start there, and if you're still stuck to get in touch with your VPN Administrator and let them know you can't connect with the latest version of OpenVPN.
    OpenVPN Support Forum • Validating certificate wrong key usage : Configuration

    Update: @talltroym reports removing the "tls-remote" altogether from the commands area solved the problem for him."


    I can confirm that removing of "tls-remote... commands solved the connection problem.

    How can we fix this in userportal?
  • 0
    I've submitted a bug report.  Support ticket #3352974.

    Cheers - Bob