Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 1 subscriber
  • Views 21888 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN stopped working

Flums
We did a software update from Astaro 8.302 to 8.305 last week, and now nobody can connect to the SSL VPN.

From SSL VPN log on Astaro:

2012:07:25-06:15:10 cr01 openvpn[23164]: MULTI: multi_create_instance called
2012:07:25-06:15:10 cr01 openvpn[23164]: Re-using SSL/TLS context
2012:07:25-06:15:10 cr01 openvpn[23164]: LZO compression initialized
2012:07:25-06:15:10 cr01 openvpn[23164]: Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
2012:07:25-06:15:10 cr01 openvpn[23164]: Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
2012:07:25-06:15:10 cr01 openvpn[23164]: Local Options hash (VER=V4): 'a4f12474'
2012:07:25-06:15:10 cr01 openvpn[23164]: Expected Remote Options hash (VER=V4): '619088b2'
2012:07:25-06:15:10 cr01 openvpn[23164]: TCP connection established with 10.0.1.36:49307
2012:07:25-06:15:10 cr01 openvpn[23164]: Socket Buffers: R=[131072->131072] S=[131072->131072]
2012:07:25-06:15:10 cr01 openvpn[23164]: TCPv4_SERVER link local: [undef]
2012:07:25-06:15:10 cr01 openvpn[23164]: TCPv4_SERVER link remote: 10.0.1.36:49307
2012:07:25-06:15:11 cr01 openvpn[23164]: 10.0.1.36:49307 TLS: Initial packet from 10.0.1.36:49307, sid=886d5c93 0978948d
2012:07:25-06:15:11 cr01 openvpn[23164]: 10.0.1.36:49307 Connection reset, restarting [0]
2012:07:25-06:15:11 cr01 openvpn[23164]: 10.0.1.36:49307 SIGUSR1[soft,connection-reset] received, client-instance restarting
2012:07:25-06:15:11 cr01 openvpn[23164]: TCP/UDP: Closing socket

And this keeps repeating. I have tried the following:
* Restart Astaro
* Connect to an ip, not the hostname
* Regenerate VPN Signning CA
* Tried multiple users/systems.

We mostly use Viscosity for VPN from Mac's.

Anyone got an idea?


This thread was automatically locked due to age.
Parents
  • 0
    Do you have logs from the client side?
  • 0 in reply to UrsWeiss
    Do you have logs from the client side?


    Thanks for the reply, here it is: (some info-text is in norwegian, but not the important part i think)

    Jul 25 09:32:01: Viscosity Mac 1.4 (1070)
    Jul 25 09:32:01: Viscosity OpenVPN Engine Started
    Jul 25 09:32:01: Running on Mac OS X 10.6.8
    Jul 25 09:32:01: ---------
    Jul 25 09:32:01: Sjekker tilgjengelighetsstatus for tilkobling...
    Jul 25 09:32:01: Tilkoblingen er tilgjengelig. Forsøker tilkobling.
    Jul 25 09:32:03: OpenVPN 2.3_alpha2 i386-apple-darwin10.8.0 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110522-1 (2.2.0)] built on Jul 24 2012
    Jul 25 09:32:04: WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Jul 25 09:32:04: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Jul 25 09:32:04: Attempting to establish TCP connection with [AF_INET]XX:XX:XX:XX:443 [nonblock]
    Jul 25 09:32:06: TCP connection established with [AF_INET]XX:XX:XX:XX:443
    Jul 25 09:32:06: TCPv4_CLIENT link local: [undef]
    Jul 25 09:32:06: TCPv4_CLIENT link remote: [AF_INET]XX:XX:XX:XX:443
    Jul 25 09:32:06: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Jul 25 09:32:06: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Jul 25 09:32:06: TLS Error: TLS object -> incoming plaintext read error
    Jul 25 09:32:06: TLS Error: TLS handshake failed
    Jul 25 09:32:06: Fatal TLS error (check_tls_errors_co), restarting
    Jul 25 09:32:06: SIGUSR1[soft,tls-error] received, process restarting
    Jul 25 09:33:07: WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Jul 25 09:33:07: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Jul 25 09:33:07: Attempting to establish TCP connection with [AF_INET]XX:XX:XX:XX:443 [nonblock]
    Jul 25 09:33:08: TCP connection established with [AF_INET]XX:XX:XX:XX:443
    Jul 25 09:33:08: TCPv4_CLIENT link local: [undef]
    Jul 25 09:33:08: TCPv4_CLIENT link remote: [AF_INET]XX:XX:XX:XX:443
    Jul 25 09:33:08: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Jul 25 09:33:08: TLS Error: TLS object -> incoming plaintext read error
    Jul 25 09:33:08: TLS Error: TLS handshake failed
    Jul 25 09:33:08: Fatal TLS error (check_tls_errors_co), restarting
    Jul 25 09:33:08: SIGUSR1[soft,tls-error] received, process restarting


    IP address is changed out with XX:XX:XX:XX
  • 0 in reply to Flums
    I would try that first:


    • Make a copy of the current OpenSSL config on a client
    • Redownload the config from user portal
    • If the downloaded config works fine, check whats the difference between these two


    You're using an FQDN to connect to the Astaro (SSL VPN), not an IP address, right?
Reply
  • 0 in reply to Flums
    I would try that first:


    • Make a copy of the current OpenSSL config on a client
    • Redownload the config from user portal
    • If the downloaded config works fine, check whats the difference between these two


    You're using an FQDN to connect to the Astaro (SSL VPN), not an IP address, right?
Children
  • 0 in reply to UrsWeiss
    I would try that first:


    • Make a copy of the current OpenSSL config on a client
    • Redownload the config from user portal
    • If the downloaded config works fine, check whats the difference between these two


    You're using an FQDN to connect to the Astaro (SSL VPN), not an IP address, right?


    I've tried that multiple times without any luck.

    Yes, we have always used FQDN for connecting to the Astaro.
  • 0 in reply to Flums
    Tried a fresh client on Ubuntu now, and confirmed that it works there, just not on any os x. Not sure why.....