Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 1 subscriber
  • Views 21887 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN stopped working

Flums
We did a software update from Astaro 8.302 to 8.305 last week, and now nobody can connect to the SSL VPN.

From SSL VPN log on Astaro:

2012:07:25-06:15:10 cr01 openvpn[23164]: MULTI: multi_create_instance called
2012:07:25-06:15:10 cr01 openvpn[23164]: Re-using SSL/TLS context
2012:07:25-06:15:10 cr01 openvpn[23164]: LZO compression initialized
2012:07:25-06:15:10 cr01 openvpn[23164]: Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
2012:07:25-06:15:10 cr01 openvpn[23164]: Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
2012:07:25-06:15:10 cr01 openvpn[23164]: Local Options hash (VER=V4): 'a4f12474'
2012:07:25-06:15:10 cr01 openvpn[23164]: Expected Remote Options hash (VER=V4): '619088b2'
2012:07:25-06:15:10 cr01 openvpn[23164]: TCP connection established with 10.0.1.36:49307
2012:07:25-06:15:10 cr01 openvpn[23164]: Socket Buffers: R=[131072->131072] S=[131072->131072]
2012:07:25-06:15:10 cr01 openvpn[23164]: TCPv4_SERVER link local: [undef]
2012:07:25-06:15:10 cr01 openvpn[23164]: TCPv4_SERVER link remote: 10.0.1.36:49307
2012:07:25-06:15:11 cr01 openvpn[23164]: 10.0.1.36:49307 TLS: Initial packet from 10.0.1.36:49307, sid=886d5c93 0978948d
2012:07:25-06:15:11 cr01 openvpn[23164]: 10.0.1.36:49307 Connection reset, restarting [0]
2012:07:25-06:15:11 cr01 openvpn[23164]: 10.0.1.36:49307 SIGUSR1[soft,connection-reset] received, client-instance restarting
2012:07:25-06:15:11 cr01 openvpn[23164]: TCP/UDP: Closing socket

And this keeps repeating. I have tried the following:
* Restart Astaro
* Connect to an ip, not the hostname
* Regenerate VPN Signning CA
* Tried multiple users/systems.

We mostly use Viscosity for VPN from Mac's.

Anyone got an idea?


This thread was automatically locked due to age.
  • 0
    Hi,

    In Openvpn 2.3, the syntax for "-tls-remote" parameter has changed from:

    /CN=Common Name/O=Organisation/L=Location

    to

    CN=Common Name, O=Organisation, L=Location

    (note: the comma is the delimiter in the new format)

    In UTM 9, Sophos has upgraded Openvpn and the Openssl packages.  As a result, the .ovpn files containing the "-tls-remote" parameter has been modified with the new syntax.  Any OS X 10.8 machine with Openvpn 2.3 client shouldn't encounter the issue expressed in this thread.  Older clients should work with UTM 9 as long as the user configuration file is redownloaded.

    Until Openvpn 2.3 is released in ASG 8.3x, users who download their ssl vpn client configuration files from the end-user portal will need to manually remove the "-tls-remote" syntax to make it work with openvpn 2.3 clients.

    HTH.

    ref:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/75/t/63950

    ChangesInOpenvpn23
  • 0
    Thanks, Jay, for joining us here!

    Cheers - Bob
  • 0
    Just encountered this problem tonight (Astaro 8.305 + Mac OS X 10.7.4 + Viscosity 1.4.1). Jays, how does one go about removing the syntax from the VPN credentials? I tried removing the "tls-remote" line altogether, as well as changing the syntax to OpenVPN 2.3 standards, and either way I get this message in Viscosity:

    "The OpenVPN subsystem could not be started. Please see the log section in the Details window for more information." Which produces this:

    Aug 01 22:24:22: Viscosity Mac 1.4.1 (1075)
    Aug 01 22:24:22: Viscosity OpenVPN Engine Started
    Aug 01 22:24:22: Running on Mac OS X 10.7.4
    Aug 01 22:24:22: ---------
    Aug 01 22:24:22: Checking reachability status of connection...
    Aug 01 22:24:22: Connection is reachable. Starting connection attempt.
    Options error: Unrecognized option or missing parameter(s) in config.conf:19: emailAddress=##MASKED EMAIL## (2.3_alpha3)

    The OpenVPN subsystem could not be started. Please check the following:
    - Check for any error messages above this notification.
    - Make sure Viscosity is not running under a File Vault protected location (put Viscosity in the Applications folder).
    - Make sure the configuration is valid. Check the connection settings for the connection using Viscosity and make sure all settings are correct.
  • 0 in reply to jays
    Hi,

    In Openvpn 2.3, the syntax for "-tls-remote" parameter has changed from:

    /CN=Common Name/O=Organisation/L=Location

    to

    CN=Common Name, O=Organisation, L=Location

    (note: the comma is the delimiter in the new format)

    Until Openvpn 2.3 is released in ASG 8.3x, users who download their ssl vpn client configuration files from the end-user portal will need to manually remove the "-tls-remote" syntax to make it work with openvpn 2.3 clients.


    This doesn't work for me.  I tried both modifying to new format and removing tls-remote.

    Bob, any updates on the ticket?
  • 0 in reply to syuusuke
    I found this on the Viscosity Forum.
    Maybe it helps the others too...

    Issue 2: TLS Error: TLS handshake failed (Astaro & Watchguard Servers)

    If you see an error message similar to the above message, typically accompanied by another message like "TLS_ERROR: BIO read tls_read_plaintext error:
    error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate
    verify failed" you are most likely trying to connect to an Astaro or Watchguard server. Unfortunately the "tls-remote" commands these servers generate are out of date and no longer accepted by the latest version of OpenSSL and OpenVPN. If updating to the latest beta version doesn't help, you will need to modify one or both of these commands to be correct.

    It has been reported by users that you can get your connection working again with the latest version of Viscosity by removing the "tls-remote" command. Some users have also reported success changing underscore characters to spaces in this command can also resolve the problem. To do either of these, edit your connection in Viscosity and then click on the Advanced tab. Find the "tls-remote" command in the commands section and then either remove it all together, or edit it accordingly. Click Save.


    SparkLabs Forum • View topic - Resolving Problems With Version 1.4 & Mac OS 10.8

    Hope that helps.
    mike
  • 0
    Hi, syuusuke & Mike, and welcome to the User BB!

    Bob, any updates on the ticket? 


    I submitted it as a bug report.  In that case, Support closes the Support Ticket after they have reported the problem to the developers.

    Cheers - Bob
  • 0 in reply to the-boogieman
    I found this on the Viscosity Forum.
    Maybe it helps the others too...



    SparkLabs Forum • View topic - Resolving Problems With Version 1.4 & Mac OS 10.8

    Hope that helps.
    mike


    I tried this as well before my previous post above.  I've updated Viscosity to latest version.

    Hmm.. I guess I'm either a special case or others are still encountering this issue.
  • 0
    I had to delete both the tls-remote line and emailaddress line to get Viscosity to work. Before that, I was assuming it was a problem with my end (perhaps a bad certificate) and was just about to regenerate the CA certificate, Good thing google found this thread.

    Mac OS 10.7.4, Viscosity 1.4.1, Astaro 7.512