Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 36 replies
  • Subscribers 1 subscriber
  • Views 57521 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN - Not working after upgrade to UTM 9

TheExpert
Hello together,

I upgraded from ASG 8.305 to UTM 9. When wanting to connect via SSL VPN I see the following error in the Log of the SSL VPN client which is updated, too:

VERIFY X509NAME ERROR: C=de, L=***, O=*** Mössner, CN=***, emailAddress=***, must be C=de, L=***, O=*** Mössner, CN=***, emailAddress=***

You can see that there is difference for the "O" field. The certificates were imported from the ASG installation where the SSL VPN worked fine.

When looking into the certificates on the UTM 9 and on the client, the "O" field looks good, there is no problem with vowel mutation.

So my question is: Which certificate is presented with the wrong information? Is it the certifacte of the SSL VPN client or is it the CA certificate of the UTM 9 and what can I do to correct the issue without resigning the HTTPS proxy certificate and all the other certificates?

Thank you

TheExpert


This thread was automatically locked due to age.
  • 0
    Hello again,

    after changing the row with the TLS part in .ovpn file of the SSL VPN client regarding the "O" field to "..., O=*** Mössner" I didn't get the error message shown in my last post.

    But the connection isn't available yet because of this error message:

    [***.net] Peer Connection Initiated with ***.***.***.***:1194
    MANAGEMENT: >STATE:1344261192,GET_CONFIG,,,
    SENT CONTROL [***.net]: 'PUSH_REQUEST' (status=1)
    AUTH: Received AUTH_FAILED control message
    TCP/UDP: Closing socket
    SIGTERM[soft,auth-failure] received, process exiting
    MANAGEMENT: >STATE:1344261193,EXITING,auth-failure,,

    I can't find the reason for the auth failure because I can authenticate with the same credentials to the user portal.

    Thank you for your help

    TheExpert

    Kind Regards

    TheExpert

  • 0
    I would try deleting the client package on your PC, re-downloading the complete package with the User Portal and re-installing the client completely.  You still need to do the installation 'as administrator', but the new client in V9 should work without 'Run as adminstrator'.

    Any luck?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hello,

    no, this doesn't help. I already downloaded the complete package from the user portal to the Windows 7 64 Bit client with inactive UAC and as local administrator.

    On my Windows 7 32 Bit client with UAC I have to install the client as administrator but it has to run as administrator, too. If not, the log file isn't written in the log folder of the program path. And on this client I have the same issue. But here I have the problem that I can't change the .ovpn file of the client to correct the issue with the certificate verification.

    EDIT:

    Now I was able to change the .ovpn config file. But the connection is not working because of the same error:

    [***.net] Peer Connection Initiated with ***.***.***.***:1194
    MANAGEMENT: >STATE:1344277040,GET_CONFIG,,,
    SENT CONTROL [***.net]: 'PUSH_REQUEST' (status=1)
    AUTH: Received AUTH_FAILED control message
    TCP/UDP: Closing socket
    SIGUSR1[soft,auth-failure] received, process restarting
    MANAGEMENT: >STATE:1344277041,RECONNECTING,auth-failure,,
    Restart pause, 5 second(s)
    MANAGEMENT: Client disconnected
    ERROR: could not read Auth username/password/ok/string from management interface
    Exiting

    And here is the log of the UTM:

    *** openvpn[6066]: MULTI: multi_create_instance called
    *** openvpn[6066]: Re-using SSL/TLS context
    *** openvpn[6066]: LZO compression initialized
    *** openvpn[6066]: Control Channel MTU parms [ L:1560 D:140 EF:40 EB:0 ET:0 EL:0 ]
    *** openvpn[6066]: Data Channel MTU parms [ L:1560 D:1450 EF:60 EB:135 ET:0 EL:0 AF:3/1 ]
    *** openvpn[6066]: Local Options hash (VER=V4): '79ef4284'
    *** openvpn[6066]: Expected Remote Options hash (VER=V4): '958c5492'
    *** openvpn[6066]: TCP connection established with ***.***.***.***:55232
    *** openvpn[6066]: Socket Buffers: R=[131072->131072] S=[131072->131072]
    *** openvpn[6066]: TCPv4_SERVER link local: [undef]
    *** openvpn[6066]: TCPv4_SERVER link remote: ***.***.***.***:55232
    *** openvpn[6066]: ***.***.***.***:55232 TLS: Initial packet from ***.***.***.***:55232, sid=a3dc363b ec1c20bc
    *** openvpn[6066]: ***.***.***.***:55232 VERIFY OK: depth=1, C=de, L=***, O=*** Mössner, CN=*** Mössner VPN CA, emailAddress=***
    *** openvpn[6066]: ***.***.***.***:55232 VERIFY OK: depth=0, C=de, L=***, O=*** Mössner, CN=*** Mössner, emailAddress=***.
    *** openvpn[6066]: ***.***.***.***:55232 PLUGIN_CALL: POST /usr/lib/openvpn-utm.so/PLUGIN_AUTH_USER_PASS_VERIFY status=1
    *** openvpn[6066]: ***.***.***.***:55232 PLUGIN_CALL: plugin function PLUGIN_AUTH_USER_PASS_VERIFY failed with status 1: /usr/lib/openvpn-utm.so
    *** openvpn[6066]: ***.***.***.***:55232 TLS Auth Error: Auth Username/Password verification failed for peer
    *** openvpn[6066]: ***.***.***.***:55232 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    *** openvpn[6066]: ***.***.***.***:55232 [*** Mössner] Peer Connection Initiated with ***.***.***.***:55232
    *** openvpn[6066]: ***.***.***.***:55232 PUSH: Received control message: 'PUSH_REQUEST'
    *** openvpn[6066]: ***.***.***.***:55232 Delayed exit in 5 seconds
    *** openvpn[6066]: ***.***.***.***:55232 SENT CONTROL [*** Mössner]: 'AUTH_FAILED' (status=1)
    *** openvpn[6066]: ***.***.***.***:55232 Connection reset, restarting [0]
    *** openvpn[6066]: ***.***.***.***:55232 SIGUSR1[soft,connection-reset] received, client-instance restarting
    *** openvpn[6066]: TCP/UDP: Closing socket
    *** openvpn[6066]: MULTI: multi_create_instance called
    *** openvpn[6066]: Re-using SSL/TLS context
    *** openvpn[6066]: LZO compression initialized
    *** openvpn[6066]: Control Channel MTU parms [ L:1560 D:140 EF:40 EB:0 ET:0 EL:0 ]
    *** openvpn[6066]: Data Channel MTU parms [ L:1560 D:1450 EF:60 EB:135 ET:0 EL:0 AF:3/1 ]
    *** openvpn[6066]: Local Options hash (VER=V4): '79ef4284'
    *** openvpn[6066]: Expected Remote Options hash (VER=V4): '958c5492'
    *** openvpn[6066]: TCP connection established with ***.***.***.***:55250
    *** openvpn[6066]: Socket Buffers: R=[131072->131072] S=[131072->131072]
    *** openvpn[6066]: TCPv4_SERVER link local: [undef]
    *** openvpn[6066]: TCPv4_SERVER link remote: ***.***.***.***:55250
    *** openvpn[6066]: ***.***.***.***:55250 TLS: Initial packet from ***.***.***.***:55250, sid=779b0713 f4c10489
    *** openvpn[6066]: ***.***.***.***:55250 VERIFY OK: depth=1, C=de, L=***, O=*** Mössner, CN=*** Mössner VPN CA, emailAddress=***
    *** openvpn[6066]: ***.***.***.***:55250 VERIFY OK: depth=0, C=de, L=***, O=*** Mössner, CN=*** Mössner, emailAddress=***
    *** openvpn[6066]: ***.***.***.***:55250 PLUGIN_CALL: POST /usr/lib/openvpn-utm.so/PLUGIN_AUTH_USER_PASS_VERIFY status=1
    *** openvpn[6066]: ***.***.***.***:55250 PLUGIN_CALL: plugin function PLUGIN_AUTH_USER_PASS_VERIFY failed with status 1: /usr/lib/openvpn-utm.so
    *** openvpn[6066]: ***.***.***.***:55250 TLS Auth Error: Auth Username/Password verification failed for peer
    *** openvpn[6066]: ***.***.***.***:55250 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    *** openvpn[6066]: ***.***.***.***:55250 [*** Mössner] Peer Connection Initiated with ***.***.***.***:55250
    *** openvpn[6066]: ***.***.***.***:55250 PUSH: Received control message: 'PUSH_REQUEST'
    *** openvpn[6066]: ***.***.***.***:55250 Delayed exit in 5 seconds
    *** openvpn[6066]: ***.***.***.***:55250 SENT CONTROL [*** Mössner]: 'AUTH_FAILED' (status=1)
    *** openvpn[6066]: ***.***.***.***:55250 Connection reset, restarting [0]
    *** openvpn[6066]: ***.***.***.***:55250 SIGUSR1[soft,connection-reset] received, client-instance restarting
    *** openvpn[6066]: TCP/UDP: Closing socket
    *** openvpn[6066]: MULTI: multi_create_instance called
    *** openvpn[6066]: Re-using SSL/TLS context
    *** openvpn[6066]: LZO compression initialized
    *** openvpn[6066]: Control Channel MTU parms [ L:1560 D:140 EF:40 EB:0 ET:0 EL:0 ]
    *** openvpn[6066]: Data Channel MTU parms [ L:1560 D:1450 EF:60 EB:135 ET:0 EL:0 AF:3/1 ]
    *** openvpn[6066]: Local Options hash (VER=V4): '79ef4284'
    *** openvpn[6066]: Expected Remote Options hash (VER=V4): '958c5492'
    *** openvpn[6066]: TCP connection established with ***.***.***.***:55261
    *** openvpn[6066]: Socket Buffers: R=[131072->131072] S=[131072->131072]
    *** openvpn[6066]: TCPv4_SERVER link local: [undef]
    *** openvpn[6066]: TCPv4_SERVER link remote: ***.***.***.***:55261
    *** openvpn[6066]: ***.***.***.***:55261 TLS: Initial packet from ***.***.***.***:55261, sid=749cc3c3 24075177
    *** openvpn[6066]: ***.***.***.***:55261 Connection reset, restarting [-1]
    *** openvpn[6066]: ***.***.***.***:55261 SIGUSR1[soft,connection-reset] received, client-instance restarting
    *** openvpn[6066]: TCP/UDP: Closing socket

    With the older client and ASG 8.305 there weren't such issues.

    Thank you

    TheExpert

    Kind Regards

    TheExpert

  • 0
    So, it looks like the cert & CA are fine, but that the UTM isn't getting auth for your user.  That could be because you have a Backend Group in 'Allowed users' in the SSL VPN and the group can't be resolved because the UTM can't communicate with the server.  Have you checked that?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi!

    I also upgraded from 8.305 to V9 and have the exact same error and cannot resolve it.

    Looking forward to hear your answer [:)]

    Regards Martin

    EDIT: ***
    I just looked in the log, there was an entry at TLS where it wrote the path and "must be" and an other path, i typed that path in the ovpn config file and now it works..odd!?

    I have redownloaded the vpn package from portal again and the error comes again, perhaps the astaro software did build some wrong packages??

    is it possible to force new packages again??

    Regards Martin

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v19 Architect

  • 0 in reply to twister5800
    Wasn't there a change in handling national characters (german Umlaute) in the new SSL VPN?
  • 0 in reply to papa__01
    Hello together,

    I don't have a directory service where the user will be authenticated. So the authentication is using the local database on the UTM.

    And I don't use a group for the allowed users. My only two users are listed as separate entries.

    Thank you

    TheExpert

    Kind Regards

    TheExpert

  • 0 in reply to twister5800
    I just looked in the log, there was an entry at TLS where it wrote the path and "must be" and an other path, i typed that path in the ovpn config file and now it works..odd!?


    Hello Twister5800,

    so after you corrected the .ovpn file you have no authentication failure of your SSL VPN users?

    My problem is that the same users can authenticate to the user portal but not to SSL VPN.

    Regards

    TheExpert

    Kind Regards

    TheExpert

  • 0 in reply to TheExpert
    Hi Expert,

    try with a new user without Umlauts

    Generate new certificates for the users with Umlauts and install them in your VPN Client config
  • 0 in reply to papa__01
    Hello,

    I don't use usernames with umlauts. I have only certificates with umlauts in the "O" and "CN" fields. And the certificate verification works after changing the .ovpn file.

    Regards

    TheExpert

    Kind Regards

    TheExpert

Unfiltered HTML