Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 1 subscriber
  • Views 21888 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN stopped working

Flums
We did a software update from Astaro 8.302 to 8.305 last week, and now nobody can connect to the SSL VPN.

From SSL VPN log on Astaro:

2012:07:25-06:15:10 cr01 openvpn[23164]: MULTI: multi_create_instance called
2012:07:25-06:15:10 cr01 openvpn[23164]: Re-using SSL/TLS context
2012:07:25-06:15:10 cr01 openvpn[23164]: LZO compression initialized
2012:07:25-06:15:10 cr01 openvpn[23164]: Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
2012:07:25-06:15:10 cr01 openvpn[23164]: Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
2012:07:25-06:15:10 cr01 openvpn[23164]: Local Options hash (VER=V4): 'a4f12474'
2012:07:25-06:15:10 cr01 openvpn[23164]: Expected Remote Options hash (VER=V4): '619088b2'
2012:07:25-06:15:10 cr01 openvpn[23164]: TCP connection established with 10.0.1.36:49307
2012:07:25-06:15:10 cr01 openvpn[23164]: Socket Buffers: R=[131072->131072] S=[131072->131072]
2012:07:25-06:15:10 cr01 openvpn[23164]: TCPv4_SERVER link local: [undef]
2012:07:25-06:15:10 cr01 openvpn[23164]: TCPv4_SERVER link remote: 10.0.1.36:49307
2012:07:25-06:15:11 cr01 openvpn[23164]: 10.0.1.36:49307 TLS: Initial packet from 10.0.1.36:49307, sid=886d5c93 0978948d
2012:07:25-06:15:11 cr01 openvpn[23164]: 10.0.1.36:49307 Connection reset, restarting [0]
2012:07:25-06:15:11 cr01 openvpn[23164]: 10.0.1.36:49307 SIGUSR1[soft,connection-reset] received, client-instance restarting
2012:07:25-06:15:11 cr01 openvpn[23164]: TCP/UDP: Closing socket

And this keeps repeating. I have tried the following:
* Restart Astaro
* Connect to an ip, not the hostname
* Regenerate VPN Signning CA
* Tried multiple users/systems.

We mostly use Viscosity for VPN from Mac's.

Anyone got an idea?


This thread was automatically locked due to age.
Parents
  • 0
    Hi Flums,

    I don't know Mac OS well enough but maybe it stores the certificates and CA's  somewhere and now uses the old certs/CA's.

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Same Problem here. MacOSX 10.8 / Viscosity 1.4

    Content form Viscosity Board:
    "Issue 3: TLS Error: TLS handshake failed

    If you see an error message similar to the above message, typically accompanied by another message like "TLS_ERROR: BIO read tls_read_plaintext error:
    error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate
    verify failed" you are most likely trying to connect to an Astaro or Watchguard server. Unfortunately the "tls-remote" and/or "remote-cert-eku" commands these servers generate are out of date and no longer accepted by the latest version of OpenSSL and OpenVPN. If updating to the latest beta version doesn't help, you will need to modify one or both of these commands to be correct.

    The issue is similar to the issue linked below on the OpenVPN forums, so we recommend users start there, and if you're still stuck to get in touch with your VPN Administrator and let them know you can't connect with the latest version of OpenVPN.
    OpenVPN Support Forum • Validating certificate wrong key usage : Configuration

    Update: @talltroym reports removing the "tls-remote" altogether from the commands area solved the problem for him."


    I can confirm that removing of "tls-remote... commands solved the connection problem.

    How can we fix this in userportal?
Reply
  • 0 in reply to Hallowach2
    Same Problem here. MacOSX 10.8 / Viscosity 1.4

    Content form Viscosity Board:
    "Issue 3: TLS Error: TLS handshake failed

    If you see an error message similar to the above message, typically accompanied by another message like "TLS_ERROR: BIO read tls_read_plaintext error:
    error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate
    verify failed" you are most likely trying to connect to an Astaro or Watchguard server. Unfortunately the "tls-remote" and/or "remote-cert-eku" commands these servers generate are out of date and no longer accepted by the latest version of OpenSSL and OpenVPN. If updating to the latest beta version doesn't help, you will need to modify one or both of these commands to be correct.

    The issue is similar to the issue linked below on the OpenVPN forums, so we recommend users start there, and if you're still stuck to get in touch with your VPN Administrator and let them know you can't connect with the latest version of OpenVPN.
    OpenVPN Support Forum • Validating certificate wrong key usage : Configuration

    Update: @talltroym reports removing the "tls-remote" altogether from the commands area solved the problem for him."


    I can confirm that removing of "tls-remote... commands solved the connection problem.

    How can we fix this in userportal?
Children
No Data