Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 5688 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problems after Astaro -> UTM migration, vpn connection resets every 15 minutes

thenetstriker
I've replaced my Astaro V8 firwall with the Sophos UTM 9 firewall virtual appliance and imported my Astaro configuration into the new Sophos firewall. At first everything seamed to work perfectly, but today I found a problem with the OpenVpn connection. The connection works, but every 10 to 15 minutes the connection is resets and restarts. Here is the OpenVpn Server log from one of these resets: 


2013:01:10-12:58:57 astaro openvpn[28982]: PLUGIN_CALL: POST /usr/lib/openvpn-utm.so/PLUGIN_CLIENT_DISCONNECT status=0

2013:01:10-12:58:57 astaro openvpn[28982]: TCP/UDP: Closing socket

2013:01:10-12:58:57 astaro openvpn[28982]: PLUGIN_CALL: POST /usr/lib/openvpn-utm.so/PLUGIN_CLIENT_DISCONNECT status=0

2013:01:10-12:58:57 astaro openvpn[28982]: TCP/UDP: Closing socket

2013:01:10-12:58:57 astaro openvpn[28982]: id="2202" severity="info" sys="SecureNet" sub="vpn" event="Connection terminated" username="David" variant="ssl" srcip="******XX" virtual_ip="10.242.2.6"

2013:01:10-12:58:57 astaro openvpn[28982]: PLUGIN_CALL: POST /usr/lib/openvpn-utm.so/PLUGIN_CLIENT_DISCONNECT status=0

2013:01:10-12:58:57 astaro openvpn[28982]: TCP/UDP: Closing socket

2013:01:10-12:58:57 astaro openvpn[28982]: TCP/UDP: Closing socket

2013:01:10-12:58:57 astaro openvpn[28982]: /bin/ip route del 192.168.1.0/24

2013:01:10-12:58:57 astaro openvpn[28982]: /bin/ip route del 192.168.2.0/24

2013:01:10-12:58:58 astaro openvpn[28982]: /bin/ip route del 10.242.2.0/24

2013:01:10-12:58:58 astaro openvpn[28982]: PLUGIN_CALL: POST /usr/lib/openvpn-utm.so/PLUGIN_DOWN status=0

2013:01:10-12:58:58 astaro openvpn[28982]: Closing TUN/TAP interface

2013:01:10-12:58:58 astaro openvpn[28982]: /bin/ip addr del dev tun0 local 10.242.2.1 peer 10.242.2.2

2013:01:10-12:58:58 astaro openvpn[28982]: PLUGIN_CLOSE: /usr/lib/openvpn-utm.so

2013:01:10-12:58:58 astaro openvpn[28982]: SIGTERM[hard,] received, process exiting

2013:01:10-12:58:58 astaro openvpn[31520]: Current Parameter Settings:


And here is the log on client side: 

Thu Jan 10 12:58:58 2013 us=99000 Connection reset, restarting [0]

Thu Jan 10 12:58:58 2013 us=99000 TCP/UDP: Closing socket

Thu Jan 10 12:58:58 2013 us=99000 SIGUSR1[soft,connection-reset] received, process restarting

Thu Jan 10 12:58:58 2013 us=99000 MANAGEMENT: >STATE:1357819138,RECONNECTING,connection-reset,,

Thu Jan 10 12:58:58 2013 us=99000 Restart pause, 5 second(s)

Thu Jan 10 12:59:03 2013 us=91000 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).

Thu Jan 10 12:59:03 2013 us=91000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables

Thu Jan 10 12:59:03 2013 us=106000 Re-using SSL/TLS context

Thu Jan 10 12:59:03 2013 us=106000 LZO compression initialized

Thu Jan 10 12:59:03 2013 us=106000 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]

Thu Jan 10 12:59:03 2013 us=106000 MANAGEMENT: >STATE:1357819143,RESOLVE,,,

Thu Jan 10 12:59:03 2013 us=293000 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]

Thu Jan 10 12:59:03 2013 us=293000 Local Options String: 'V4,dev-type tun,link-mtu 1556,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher AES-128-CBC,auth MD5,keysize 128,key-method 2,tls-client'

Thu Jan 10 12:59:03 2013 us=293000 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1556,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher AES-128-CBC,auth MD5,keysize 128,key-method 2,tls-server'

Thu Jan 10 12:59:03 2013 us=293000 Local Options hash (VER=V4): '619088b2'

Thu Jan 10 12:59:03 2013 us=293000 Expected Remote Options hash (VER=V4): 'a4f12474'

Thu Jan 10 12:59:03 2013 us=293000 Attempting to establish TCP connection with 80.218.1.196:444

Thu Jan 10 12:59:03 2013 us=293000 MANAGEMENT: >STATE:1357819143,TCP_CONNECT,,,

Thu Jan 10 12:59:03 2013 us=325000 TCP connection established with *********:444


How can I solve this problem?


This thread was automatically locked due to age.
  • 0
    Hard to say.  The first lines shown seem to occur after the problem occurs.  If there isn't more information, I'd guess it's a hardware issue.  What NICs are you using?  Did you install from the software ISO or from the one specifically from VMWare?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I've installed the Sophos ESX ovf template. I've comared the NIC's with the old Astaro virtual machine and I saw that both machines are using different hardware emulations. (Sophos uses as default adapter type flexible and my Astaro had the E1000 adapter type) I've change the adapter type of all NIC's to E1000 and will now monitor the vpn connections if the problem still occurs.
  • 0
    The hardware change did not solve the problem. I still get these vpn dropouts every 15 to 30 minutes. I've also compared MTU values and they ar also equal to those on the old Astaro virtual machine. What else could cause this problem?
  • 0
    Just to eliminate several possibilities, you will want to get a configuration backup and install from scratch using the regular software ISO.  I keep griping that the virtual appliance ISO needs to be dropped as the regular software ISO is "VMWare aware" now.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I've now created a new virtual machine and installed Sophos UTM 9 from the installation cd and reimported my config, but the vpn connections are still not working. Any other suggestions on what could solve this problem?
  • 0
    Try downloading the client again and installing it from scratch using 'Run as Administrator'. 

    Any luck?

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I've reinstalled the openvpn client using the 'Run as Administrator' and rebooted the whole computer, but the connection still drops. Any other suggestions?
  • 0
    I now also tested the OpenVpn connection from my Android phone over the 3g network and there I have the same problems, so my Installation under Windows or the client network cannot cause this problem. It has to be something that changed on the firewall.
  • 0
    I now revertet back to the V8 Astaro firewall and there I have the same problem. Maybe the hardware of my server is defect. I will try to enable some ping statistics to see if packets are dropped.
  • 0
    I've now enabled the uplink monitoring and I just received an email that the internet uplink was down and short after that up again. I think I either have a problem with my network card or my cable route or my internet provider. Stange is that this problem occured first after a reboot of the firewall. Maybe because of the new ip I got from my provider.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?