Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 36 replies
  • Subscribers 1 subscriber
  • Views 57543 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN - Not working after upgrade to UTM 9

TheExpert
Hello together,

I upgraded from ASG 8.305 to UTM 9. When wanting to connect via SSL VPN I see the following error in the Log of the SSL VPN client which is updated, too:

VERIFY X509NAME ERROR: C=de, L=***, O=*** Mössner, CN=***, emailAddress=***, must be C=de, L=***, O=*** Mössner, CN=***, emailAddress=***

You can see that there is difference for the "O" field. The certificates were imported from the ASG installation where the SSL VPN worked fine.

When looking into the certificates on the UTM 9 and on the client, the "O" field looks good, there is no problem with vowel mutation.

So my question is: Which certificate is presented with the wrong information? Is it the certifacte of the SSL VPN client or is it the CA certificate of the UTM 9 and what can I do to correct the issue without resigning the HTTPS proxy certificate and all the other certificates?

Thank you

TheExpert


This thread was automatically locked due to age.
Parents
  • 0
    Hi TheExpert.

    I'd like to take a closer look at your problem. You shouldn't have to edit the configuration file with the new client. Could you provide the .ovpn file as it's installed from the UTM 9 user portal and the certificate (as .pem) used with the SSL VPN server, so I can find out if there's anything I can fix here?

    Thank you.
Reply
  • 0
    Hi TheExpert.

    I'd like to take a closer look at your problem. You shouldn't have to edit the configuration file with the new client. Could you provide the .ovpn file as it's installed from the UTM 9 user portal and the certificate (as .pem) used with the SSL VPN server, so I can find out if there's anything I can fix here?

    Thank you.
Children
  • 0 in reply to d12fk
    Hello d12fk,

    yes, I can provide you the .ovpn and .pem file if you can give me advice how to get these files without installing the client once again. I can't find these files when extracting the .exe file of the client package.

    And then it would be very nice if I can send you the files without putting them into this thread. Should I send you a mail or something else?

    Thank you

    TheExpert

    Kind Regards

    TheExpert

  • 0 in reply to TheExpert
    Hi,

    I'm a french user of Astaro / Sophos UTM. I get the same error message:

    "Fri Aug 24 13:35:14 2012 AUTH: Received AUTH_FAILED control message
    Fri Aug 24 13:35:14 2012 TCP/UDP: Closing socket
    Fri Aug 24 13:35:14 2012 SIGUSR1[soft,auth-failure] received, process restarting"

    In my case it is not related to the certificat object (organization field for example) but to my password.

    My user password contains a " . With this special character SSL VPN connection fails. If I change the password for a new one without " SSL VPN connexion succeeds.

    I hope this will be corrected in a future release.
  • 0 in reply to jb.emeriau@gmail.com
    Hi,

    is this Problem really fixed in 9.003? can't see anything in the releasenotes.

    Greetings,

    Philipp
  • 0 in reply to x-tec
    Hi all,

    I've tried 9.003 - it's still not working...

    Greetings,

    Philipp
  • 0 in reply to x-tec
    Hi all,

    I've tried 9.003 - it's still not working...

    Greetings,

    Philipp


    I got the issue with different UTM's running the newest code "9.107-33"

    Tue Jan 28 00:17:16 2014 OpenVPN 2.3.0 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [IPv6] built on Jun 14 2013
    Enter Management Password:
    Tue Jan 28 00:17:16 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25347
    Tue Jan 28 00:17:16 2014 Need hold release from management interface, waiting...
    Tue Jan 28 00:17:16 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25347
    Tue Jan 28 00:17:16 2014 MANAGEMENT: CMD 'state on'
    Tue Jan 28 00:17:16 2014 MANAGEMENT: CMD 'log all on'
    Tue Jan 28 00:17:16 2014 MANAGEMENT: CMD 'hold off'
    Tue Jan 28 00:17:16 2014 MANAGEMENT: CMD 'hold release'
    Tue Jan 28 00:17:23 2014 MANAGEMENT: CMD 'username "Auth" "admin"'
    Tue Jan 28 00:17:23 2014 MANAGEMENT: CMD 'password [...]'
    Tue Jan 28 00:17:23 2014 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Tue Jan 28 00:17:23 2014 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Tue Jan 28 00:17:23 2014 Socket Buffers: R=[65536->65536] S=[64512->64512]
    Tue Jan 28 00:17:23 2014 MANAGEMENT: >STATE:1390864643,RESOLVE,,,
    Tue Jan 28 00:17:23 2014 Attempting to establish TCP connection with [AF_INET]x.x.x.x:443 [nonblock]
    Tue Jan 28 00:17:23 2014 MANAGEMENT: >STATE:1390864643,TCP_CONNECT,,,
    Tue Jan 28 00:17:24 2014 TCP connection established with [AF_INET]x.x.x.x:443
    Tue Jan 28 00:17:24 2014 TCPv4_CLIENT link local: [undef]
    Tue Jan 28 00:17:24 2014 TCPv4_CLIENT link remote: [AF_INET]x.x.x.x:443
    Tue Jan 28 00:17:24 2014 MANAGEMENT: >STATE:1390864644,WAIT,,,
    Tue Jan 28 00:17:24 2014 MANAGEMENT: >STATE:1390864644,AUTH,,,
    Tue Jan 28 00:17:24 2014 TLS: Initial packet from [AF_INET]x.x.x.x:443, sid=0c7409d2 8c568c63
    Tue Jan 28 00:17:24 2014 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Tue Jan 28 00:17:25 2014 VERIFY OK: depth=1, C=ch, L=Sissach, O=Firma AG, CN=Firma AG VPN CA, emailAddress=name@email.de
    Tue Jan 28 00:17:25 2014 VERIFY ERROR: could not extract CN from X509 subject string ('C=ch, L=Sissach, O=Firma AG') -- note that the username length is limited to 64 characters
    Tue Jan 28 00:17:25 2014 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Tue Jan 28 00:17:25 2014 TLS Error: TLS object -> incoming plaintext read error
    Tue Jan 28 00:17:25 2014 TLS Error: TLS handshake failed
    Tue Jan 28 00:17:25 2014 Fatal TLS error (check_tls_errors_co), restarting
    Tue Jan 28 00:17:25 2014 SIGUSR1[soft,tls-error] received, process restarting
    Tue Jan 28 00:17:25 2014 MANAGEMENT: >STATE:1390864645,RECONNECTING,tls-error,,
    Tue Jan 28 00:17:25 2014 Restart pause, 5 second(s)
    Tue Jan 28 00:17:30 2014 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Tue Jan 28 00:17:30 2014 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Tue Jan 28 00:17:30 2014 Socket Buffers: R=[65536->65536] S=[64512->64512]
    Tue Jan 28 00:17:30 2014 MANAGEMENT: >STATE:1390864650,RESOLVE,,,
    Tue Jan 28 00:17:30 2014 Attempting to establish TCP connection with [AF_INET]x.x.x.x:443 [nonblock]
    Tue Jan 28 00:17:30 2014 MANAGEMENT: >STATE:1390864650,TCP_CONNECT,,,
    Tue Jan 28 00:17:31 2014 TCP connection established with [AF_INET]x.x.x.x:443
    Tue Jan 28 00:17:31 2014 TCPv4_CLIENT link local: [undef]
    Tue Jan 28 00:17:31 2014 TCPv4_CLIENT link remote: [AF_INET]x.x.x.x:443
    Tue Jan 28 00:17:31 2014 MANAGEMENT: >STATE:1390864651,WAIT,,,
    Tue Jan 28 00:17:31 2014 MANAGEMENT: >STATE:1390864651,AUTH,,,
    Tue Jan 28 00:17:31 2014 TLS: Initial packet from [AF_INET]x.x.x.x:443, sid=37cdc6e8 d8dbe322
    Tue Jan 28 00:17:32 2014 VERIFY OK: depth=1, C=ch, L=Sissach, O=Firma AG, CN=Firma AG VPN CA, emailAddress=name@email.de
    Tue Jan 28 00:17:32 2014 VERIFY ERROR: could not extract CN from X509 subject string ('C=ch, L=Sissach, O=Firma AG') -- note that the username length is limited to 64 characters
    Tue Jan 28 00:17:32 2014 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Tue Jan 28 00:17:32 2014 TLS Error: TLS object -> incoming plaintext read error
    Tue Jan 28 00:17:32 2014 TLS Error: TLS handshake failed
    Tue Jan 28 00:17:32 2014 Fatal TLS error (check_tls_errors_co), restarting
    Tue Jan 28 00:17:32 2014 SIGUSR1[soft,tls-error] received, process restarting
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML