Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN Site-to-Site: only one side works.

Hello guys!

UTM9. I have PPPOE on both sides. The UTM's SSL VPN connect fine, but only the client side can ping the server side of the VPN. The setup is very simple. I am pulling my hair off over this issue. I already read tons of messages from the list but, couldn't find any similar problem. Any ideas will be appreciated. I will post logs on the next thread.


This thread was automatically locked due to age.
  • Here is the log of the client side.

    2012:09:18-02:56:02 prestech1 openvpn[9358]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    2012:09:18-02:56:02 prestech1 openvpn[9358]: PLUGIN_INIT: POST /usr/lib/openvpn-utm.so '[/usr/lib/openvpn-utm.so] [REF_SslCliLojabenfic]' intercepted=PLUGIN_UP|PLUGIN_DOWN
    2012:09:18-02:56:02 prestech1 openvpn[9358]: LZO compression initialized
    2012:09:18-02:56:02 prestech1 openvpn[9358]: Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
    2012:09:18-02:56:02 prestech1 openvpn[9358]: Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
    2012:09:18-02:56:02 prestech1 openvpn[9358]: Local Options hash (VER=V4): '619088b2'
    2012:09:18-02:56:02 prestech1 openvpn[9358]: Expected Remote Options hash (VER=V4): 'a4f12474'
    2012:09:18-02:56:02 prestech1 openvpn[9358]: Attempting to establish TCP connection with 177.19.150.150:444 [nonblock]
    2012:09:18-02:56:03 prestech1 openvpn[9358]: TCP connection established with 177.19.150.150:444
    2012:09:18-02:56:03 prestech1 openvpn[9358]: Socket Buffers: R=[87380->131072] S=[20440->131072]
    2012:09:18-02:56:03 prestech1 openvpn[9358]: TCPv4_CLIENT link local: [undef]
    2012:09:18-02:56:03 prestech1 openvpn[9358]: TCPv4_CLIENT link remote: 177.19.150.150:444
    2012:09:18-02:56:03 prestech1 openvpn[9358]: TLS: Initial packet from 177.19.150.150:444, sid=c70ca737 8fbbdc3d
    2012:09:18-02:56:03 prestech1 openvpn[9358]: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    2012:09:18-02:56:03 prestech1 openvpn[9358]: VERIFY OK: 
    2012:09:18-02:56:03 prestech1 openvpn[9358]: VERIFY X509NAME OK: 
    2012:09:18-02:56:03 prestech1 openvpn[9358]: VERIFY OK: 
    2012:09:18-02:56:05 prestech1 openvpn[9358]: Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    2012:09:18-02:56:05 prestech1 openvpn[9358]: Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    2012:09:18-02:56:05 prestech1 openvpn[9358]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    2012:09:18-02:56:05 prestech1 openvpn[9358]: [fw-novanetinfo] Peer Connection Initiated with 177.19.150.150:444
    2012:09:18-02:56:07 prestech1 openvpn[9358]: SENT CONTROL [fw-novanetinfo]: 'PUSH_REQUEST' (status=1)
    2012:09:18-02:56:07 prestech1 openvpn[9358]: PUSH: Received control message: 'PUSH_REPLY,route 192.168.150.0 255.255.255.0,setenv-safe remote_network_1 192.168.150.0/24,setenv-safe local_network_1 192.168.0.0/24,ifconfig 10.242.2.6 10.242.2.5'
    2012:09:18-02:56:07 prestech1 openvpn[9358]: OPTIONS IMPORT: --ifconfig/up options modified
    2012:09:18-02:56:07 prestech1 openvpn[9358]: OPTIONS IMPORT: route options modified
    2012:09:18-02:56:07 prestech1 openvpn[9358]: OPTIONS IMPORT: environment modified
    2012:09:18-02:56:07 prestech1 openvpn[9358]: ROUTE default_gateway=200.222.117.77
    2012:09:18-02:56:07 prestech1 openvpn[9358]: TUN/TAP device tun0 opened
    2012:09:18-02:56:07 prestech1 openvpn[9358]: TUN/TAP TX queue length set to 100
    2012:09:18-02:56:07 prestech1 openvpn[9358]: /bin/ip link set dev tun0 up mtu 1500
    2012:09:18-02:56:07 prestech1 openvpn[9358]: /bin/ip addr add dev tun0 local 10.242.2.6 peer 10.242.2.5
    2012:09:18-02:56:07 prestech1 openvpn[9358]: PLUGIN_CALL: POST /usr/lib/openvpn-utm.so/PLUGIN_UP status=0
    2012:09:18-02:56:07 prestech1 openvpn[9358]: /bin/ip route add 192.168.150.0/24 via 10.242.2.5 dev tun0
    2012:09:18-02:56:07 prestech1 openvpn[9358]: Initialization Sequence Completed
  • Here is the log of the server side.
    2012:09:18-01:55:52 fw-novanetinfo openvpn[23924]: SIGTERM[hard,] received, process exiting
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24864]: OpenVPN 2.1.1 i686-suse-linux [SSL] [LZO2] [EPOLL] built on Jul 9 2012
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24864]: MANAGEMENT: client_uid=0
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24864]: MANAGEMENT: client_gid=0
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24864]: MANAGEMENT: unix domain socket listening on /var/run/ovpn_mgmt
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24864]: WARNING: using --duplicate-cn and --client-config-dir together is probably not what you want
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24864]: WARNING: --ifconfig-pool-persist will not work with --duplicate-cn
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24864]: PLUGIN_INIT: POST /usr/lib/openvpn-utm.so '[/usr/lib/openvpn-utm.so]' intercepted=PLUGIN_UP|PLUGIN_DOWN|PLUGIN_AUTH_USER_PASS_VERIFY|PLUGIN_CLIENT_CONNECT|PLUGIN_CLIENT_DISCONNECT
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24864]: Diffie-Hellman initialized with 1024 bit key
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24864]: TLS-Auth MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24864]: ROUTE default_gateway=177.133.132.1
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24864]: TUN/TAP device tun0 opened
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24864]: TUN/TAP TX queue length set to 100
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24864]: /bin/ip link set dev tun0 up mtu 1500
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24864]: /bin/ip addr add dev tun0 local 10.242.2.1 peer 10.242.2.2
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24864]: PLUGIN_CALL: POST /usr/lib/openvpn-utm.so/PLUGIN_UP status=0
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24864]: /bin/ip route add 192.168.0.0/24 via 10.242.2.2 dev tun0
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24864]: /bin/ip route add 10.242.2.0/24 via 10.242.2.2 dev tun0
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24864]: Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24870]: Listening for incoming TCP connection on [undef]:444
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24870]: Socket Buffers: R=[87380->131072] S=[16384->131072]
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24870]: TCPv4_SERVER link local (bound): [undef]:444
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24870]: TCPv4_SERVER link remote: [undef]
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24870]: MULTI: multi_init called, r=256 v=256
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24870]: IFCONFIG POOL: base=10.242.2.4 size=62
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24870]: IFCONFIG POOL LIST
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24870]: MULTI: TCP INIT maxclients=1024 maxevents=1028
    2012:09:18-01:55:52 fw-novanetinfo openvpn[24870]: Initialization Sequence Completed
    2012:09:18-01:56:02 fw-novanetinfo openvpn[24870]: MULTI: multi_create_instance called
    2012:09:18-01:56:02 fw-novanetinfo openvpn[24870]: Re-using SSL/TLS context
    2012:09:18-01:56:02 fw-novanetinfo openvpn[24870]: LZO compression initialized
    2012:09:18-01:56:02 fw-novanetinfo openvpn[24870]: Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
    2012:09:18-01:56:02 fw-novanetinfo openvpn[24870]: Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
    2012:09:18-01:56:02 fw-novanetinfo openvpn[24870]: Local Options hash (VER=V4): 'a4f12474'
    2012:09:18-01:56:02 fw-novanetinfo openvpn[24870]: Expected Remote Options hash (VER=V4): '619088b2'
    2012:09:18-01:56:02 fw-novanetinfo openvpn[24870]: TCP connection established with 201.51.205.164:59186
    2012:09:18-01:56:02 fw-novanetinfo openvpn[24870]: Socket Buffers: R=[131072->131072] S=[131072->131072]
    2012:09:18-01:56:02 fw-novanetinfo openvpn[24870]: TCPv4_SERVER link local: [undef]
    2012:09:18-01:56:02 fw-novanetinfo openvpn[24870]: TCPv4_SERVER link remote: 201.51.205.164:59186
    2012:09:18-01:56:03 fw-novanetinfo openvpn[24870]: 201.51.205.164:59186 TLS: Initial packet from 201.51.205.164:59186, sid=813331d7 48988dbc
    2012:09:18-01:56:04 fw-novanetinfo openvpn[24870]: 201.51.205.164:59186 VERIFY OK: 
    2012:09:18-01:56:04 fw-novanetinfo openvpn[24870]: 201.51.205.164:59186 VERIFY OK: 
    2012:09:18-01:56:05 fw-novanetinfo openvpn[24870]: 201.51.205.164:59186 PLUGIN_CALL: POST /usr/lib/openvpn-utm.so/PLUGIN_AUTH_USER_PASS_VERIFY status=0
    2012:09:18-01:56:05 fw-novanetinfo openvpn[24870]: 201.51.205.164:59186 TLS: Username/Password authentication succeeded for username 'REF_AaaUse1'
    2012:09:18-01:56:05 fw-novanetinfo openvpn[24870]: 201.51.205.164:59186 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    2012:09:18-01:56:05 fw-novanetinfo openvpn[24870]: 201.51.205.164:59186 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    2012:09:18-01:56:05 fw-novanetinfo openvpn[24870]: 201.51.205.164:59186 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    2012:09:18-01:56:05 fw-novanetinfo openvpn[24870]: 201.51.205.164:59186 [REF_SslSerLojabenfic] Peer Connection Initiated with 201.51.205.164:59186
    2012:09:18-01:56:05 fw-novanetinfo openvpn[24870]: REF_SslSerLojabenfic/201.51.205.164:59186 OPTIONS IMPORT: reading client specific options from: /etc/openvpn/server/REF_SslSerLojabenfic
    2012:09:18-01:56:05 fw-novanetinfo openvpn[24870]: REF_SslSerLojabenfic/201.51.205.164:59186 PLUGIN_CALL: POST /usr/lib/openvpn-utm.so/PLUGIN_CLIENT_CONNECT status=0
    2012:09:18-01:56:05 fw-novanetinfo openvpn[24870]: REF_SslSerLojabenfic/201.51.205.164:59186 MULTI: Learn: 10.242.2.6 -> REF_SslSerLojabenfic/201.51.205.164:59186
    2012:09:18-01:56:05 fw-novanetinfo openvpn[24870]: REF_SslSerLojabenfic/201.51.205.164:59186 MULTI: primary virtual IP for REF_SslSerLojabenfic/201.51.205.164:59186: 10.242.2.6
    2012:09:18-01:56:05 fw-novanetinfo openvpn[24870]: REF_SslSerLojabenfic/201.51.205.164:59186 MULTI: internal route 192.168.0.0/24 -> REF_SslSerLojabenfic/201.51.205.164:59186
    2012:09:18-01:56:05 fw-novanetinfo openvpn[24870]: REF_SslSerLojabenfic/201.51.205.164:59186 MULTI: Learn: 192.168.0.0/24 -> REF_SslSerLojabenfic/201.51.205.164:59186
    2012:09:18-01:56:07 fw-novanetinfo openvpn[24870]: REF_SslSerLojabenfic/201.51.205.164:59186 PUSH: Received control message: 'PUSH_REQUEST'
    2012:09:18-01:56:07 fw-novanetinfo openvpn[24870]: REF_SslSerLojabenfic/201.51.205.164:59186 SENT CONTROL [REF_SslSerLojabenfic]: 'PUSH_REPLY,route 192.168.150.0 255.255.255.0,setenv-safe remote_network_1 192.168.150.0/24,setenv-safe local_network_1 192.168.0.0/24,ifconfig 10.242.2.6 10.242.2.5' (status=1)
    2012:09:18-01:56:14 fw-novanetinfo openvpn[24870]: REF_SslSerLojabenfic/201.51.205.164:59186 MULTI: Learn: 192.168.0.65 -> REF_SslSerLojabenfic/201.51.205.164:59186
    2012:09:18-01:57:57 fw-novanetinfo openvpn[24870]: MULTI: Learn: 192.168.0.231 -> REF_SslSerLojabenfic/201.51.205.164:59186
  • Hi cemendes,

    Please [Go Advanced] below and post pictures of the 'Site-to-site VPN tunnel status' and of 'Edit SSL connection'.

    Also, please confirm your settings on the 'ICMP' tab of 'Firewall' on both sides.  Are you pinging via name or numeric IP?

    Cheers - Bob
  • Hi Bob,

    Man, you are one of the most - if not not THE most - active person on this forum. Thanks for the great help you provide to the community. 

    Here are screenshots of the VPN server side.



    Screenshots for VPN client side.

  • Both sides have the same ICMP configuration. IDS is also disabled on both sides.

  • The tunnel is working perfectly, so the problem is elsewhere.  If you are pinging via numeric IP, then my guess is that you have a routing problem - either there is an overlap between the local and remote LANs or the devices on the non-responsive side don't have the UTM as default gateway.

    Cheers - Bob
    PS I just looked at the thread you separated this from, and, indeed, it appears that the non-responsive side is the one with a single-NIC UTM.  Assuming the single-NIC is in the 192.168.0.0/24 network, all you need is a static route (192.168.150.0/24 -> 192.168.0.15) in the edge router to send the response traffic back to the UTM.
  • Hi Bob,

    Since I started this thread, I am using two nics. One nic is connected to an ADSL router and the other is connected to the local network - same setup on both sides. I moved sophos to the edge of the network to eliminate possible problems with the one nic setup. 

    The default gateway you mentioned shouldn't be a problem since I am trying to ping the gateway itself, right? I am logged in both machines using SSH and trying to ping each others internal IP. I can ping from the client side the gateway on the server side, but not the other way around. 

    I'm starting to think that it might be a bug or something. 

    My network setup is very simple. 

    VPN Server Side:

    192.168.150.0
    SOPHOS: 192.168.150.254
    Routes created by SSL VPN:
    10.242.2.0/24 via 10.242.2.2 dev tun0 
    10.242.2.2 dev tun0  proto kernel  scope link  src 10.242.2.1 
    127.0.0.0/8 dev lo  scope link 
    177.133.132.1 dev ppp0  proto kernel  scope link  src 177.19.158.158 
    192.168.0.0/24 via 10.242.2.2 dev tun0 
    192.168.150.0/24 dev eth0  proto kernel  scope link  src 192.168.150.254 


    VPN Client Side: 192.168.0.0
    SOPHOS: 192.168.0.15
    Routes created by SSL VPN:
    10.242.2.5 dev tun0  proto kernel  scope link  src 10.242.2.6 
    127.0.0.0/8 dev lo  scope link 
    192.168.0.0/24 dev eth3  proto kernel  scope link  src 192.168.0.15 
    192.168.150.0/24 via 10.242.2.5 dev tun0 
    200.222.117.77 dev ppp0  proto kernel  scope link  src 201.51.209.164
  • Yeah, the routing tables look right... as long as there isn't an earlier route catching the .150. traffic.  What happens if you use the Ping tool in WebAdmin in the Server side to ping 192.168.0.15?

    Cheers - Bob
  • No Bob, there is not. Ping from the webadmin has the same result as from the console. To eliminate the internet connections, I went ahead and setup two machines in my lab and setup a VPN between them two and I could reproduce the same error. Have you or anybody else here setup a SSL VPN on UTM 9? I smell a bug...
  • the routing tables look right... as long as there isn't an earlier route catching the .150. traffic.

    So, try putting a route into the default gateway, just as if the second ASG weren't on the edge as suggested in Post #7 above.

    Any luck?

    Cheers - Bob