Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 5688 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problems after Astaro -> UTM migration, vpn connection resets every 15 minutes

thenetstriker
I've replaced my Astaro V8 firwall with the Sophos UTM 9 firewall virtual appliance and imported my Astaro configuration into the new Sophos firewall. At first everything seamed to work perfectly, but today I found a problem with the OpenVpn connection. The connection works, but every 10 to 15 minutes the connection is resets and restarts. Here is the OpenVpn Server log from one of these resets: 


2013:01:10-12:58:57 astaro openvpn[28982]: PLUGIN_CALL: POST /usr/lib/openvpn-utm.so/PLUGIN_CLIENT_DISCONNECT status=0

2013:01:10-12:58:57 astaro openvpn[28982]: TCP/UDP: Closing socket

2013:01:10-12:58:57 astaro openvpn[28982]: PLUGIN_CALL: POST /usr/lib/openvpn-utm.so/PLUGIN_CLIENT_DISCONNECT status=0

2013:01:10-12:58:57 astaro openvpn[28982]: TCP/UDP: Closing socket

2013:01:10-12:58:57 astaro openvpn[28982]: id="2202" severity="info" sys="SecureNet" sub="vpn" event="Connection terminated" username="David" variant="ssl" srcip="******XX" virtual_ip="10.242.2.6"

2013:01:10-12:58:57 astaro openvpn[28982]: PLUGIN_CALL: POST /usr/lib/openvpn-utm.so/PLUGIN_CLIENT_DISCONNECT status=0

2013:01:10-12:58:57 astaro openvpn[28982]: TCP/UDP: Closing socket

2013:01:10-12:58:57 astaro openvpn[28982]: TCP/UDP: Closing socket

2013:01:10-12:58:57 astaro openvpn[28982]: /bin/ip route del 192.168.1.0/24

2013:01:10-12:58:57 astaro openvpn[28982]: /bin/ip route del 192.168.2.0/24

2013:01:10-12:58:58 astaro openvpn[28982]: /bin/ip route del 10.242.2.0/24

2013:01:10-12:58:58 astaro openvpn[28982]: PLUGIN_CALL: POST /usr/lib/openvpn-utm.so/PLUGIN_DOWN status=0

2013:01:10-12:58:58 astaro openvpn[28982]: Closing TUN/TAP interface

2013:01:10-12:58:58 astaro openvpn[28982]: /bin/ip addr del dev tun0 local 10.242.2.1 peer 10.242.2.2

2013:01:10-12:58:58 astaro openvpn[28982]: PLUGIN_CLOSE: /usr/lib/openvpn-utm.so

2013:01:10-12:58:58 astaro openvpn[28982]: SIGTERM[hard,] received, process exiting

2013:01:10-12:58:58 astaro openvpn[31520]: Current Parameter Settings:


And here is the log on client side: 

Thu Jan 10 12:58:58 2013 us=99000 Connection reset, restarting [0]

Thu Jan 10 12:58:58 2013 us=99000 TCP/UDP: Closing socket

Thu Jan 10 12:58:58 2013 us=99000 SIGUSR1[soft,connection-reset] received, process restarting

Thu Jan 10 12:58:58 2013 us=99000 MANAGEMENT: >STATE:1357819138,RECONNECTING,connection-reset,,

Thu Jan 10 12:58:58 2013 us=99000 Restart pause, 5 second(s)

Thu Jan 10 12:59:03 2013 us=91000 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).

Thu Jan 10 12:59:03 2013 us=91000 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables

Thu Jan 10 12:59:03 2013 us=106000 Re-using SSL/TLS context

Thu Jan 10 12:59:03 2013 us=106000 LZO compression initialized

Thu Jan 10 12:59:03 2013 us=106000 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]

Thu Jan 10 12:59:03 2013 us=106000 MANAGEMENT: >STATE:1357819143,RESOLVE,,,

Thu Jan 10 12:59:03 2013 us=293000 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]

Thu Jan 10 12:59:03 2013 us=293000 Local Options String: 'V4,dev-type tun,link-mtu 1556,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher AES-128-CBC,auth MD5,keysize 128,key-method 2,tls-client'

Thu Jan 10 12:59:03 2013 us=293000 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1556,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher AES-128-CBC,auth MD5,keysize 128,key-method 2,tls-server'

Thu Jan 10 12:59:03 2013 us=293000 Local Options hash (VER=V4): '619088b2'

Thu Jan 10 12:59:03 2013 us=293000 Expected Remote Options hash (VER=V4): 'a4f12474'

Thu Jan 10 12:59:03 2013 us=293000 Attempting to establish TCP connection with 80.218.1.196:444

Thu Jan 10 12:59:03 2013 us=293000 MANAGEMENT: >STATE:1357819143,TCP_CONNECT,,,

Thu Jan 10 12:59:03 2013 us=325000 TCP connection established with *********:444


How can I solve this problem?


This thread was automatically locked due to age.
Parents
  • 0
    I've now disconnected every site-to-site connection and every remote access connection, but in the OpenVpn log are still "close socket" entries. Is this normal?


    2013:01:25-10:42:26 astaro openvpn[26473]: TCP/UDP: Closing socket
    2013:01:25-10:42:26 astaro openvpn[26473]: /bin/ip route del 10.242.2.0/24
    2013:01:25-10:42:26 astaro openvpn[26473]: PLUGIN_CALL: POST /usr/lib/openvpn-utm.so/PLUGIN_DOWN status=0
    2013:01:25-10:42:26 astaro openvpn[26473]: Closing TUN/TAP interface
    2013:01:25-10:42:26 astaro openvpn[26473]: /bin/ip addr del dev tun0 local 10.242.2.1 peer 10.242.2.2
    2013:01:25-10:42:26 astaro openvpn[26473]: PLUGIN_CLOSE: /usr/lib/openvpn-utm.so
    2013:01:25-10:42:26 astaro openvpn[26473]: SIGTERM[hard,] received, process exiting
    2013:01:25-10:42:27 astaro openvpn[27632]: OpenVPN 2.1.1 i686-suse-linux [SSL] [LZO2] [EPOLL] built on Jul 9 2012
    2013:01:25-10:42:27 astaro openvpn[27632]: MANAGEMENT: client_uid=0
    2013:01:25-10:42:27 astaro openvpn[27632]: MANAGEMENT: client_gid=0
    2013:01:25-10:42:27 astaro openvpn[27632]: MANAGEMENT: unix domain socket listening on /var/run/ovpn_mgmt
    2013:01:25-10:42:27 astaro openvpn[27632]: WARNING: using --duplicate-cn and --client-config-dir together is probably not what you want
    2013:01:25-10:42:27 astaro openvpn[27632]: WARNING: --ifconfig-pool-persist will not work with --duplicate-cn
    2013:01:25-10:42:27 astaro openvpn[27632]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    2013:01:25-10:42:27 astaro openvpn[27632]: PLUGIN_INIT: POST /usr/lib/openvpn-utm.so '[/usr/lib/openvpn-utm.so]' intercepted=PLUGIN_UP|PLUGIN_DOWN|PLUGIN_AUTH_USER_PASS_VERIFY|PLUGIN_CLIENT_CONNECT|PLUGIN_CLIENT_DISCONNECT
    2013:01:25-10:42:27 astaro openvpn[27632]: Diffie-Hellman initialized with 1024 bit key
    2013:01:25-10:42:27 astaro openvpn[27632]: TLS-Auth MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
    2013:01:25-10:42:27 astaro openvpn[27632]: ROUTE default_gateway=84.74.144.1
    2013:01:25-10:42:27 astaro openvpn[27632]: TUN/TAP device tun0 opened
    2013:01:25-10:42:27 astaro openvpn[27632]: TUN/TAP TX queue length set to 100
    2013:01:25-10:42:27 astaro openvpn[27632]: /bin/ip link set dev tun0 up mtu 1500
    2013:01:25-10:42:27 astaro openvpn[27632]: /bin/ip addr add dev tun0 local 10.242.2.1 peer 10.242.2.2
    2013:01:25-10:42:27 astaro openvpn[27632]: PLUGIN_CALL: POST /usr/lib/openvpn-utm.so/PLUGIN_UP status=0
    2013:01:25-10:42:27 astaro openvpn[27632]: /bin/ip route add 10.242.2.0/24 via 10.242.2.2 dev tun0
    2013:01:25-10:42:27 astaro openvpn[27632]: Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
    2013:01:25-10:42:27 astaro openvpn[27640]: Listening for incoming TCP connection on 84.74.157.221:444
    2013:01:25-10:42:27 astaro openvpn[27640]: Socket Buffers: R=[87380->131072] S=[16384->131072]
    2013:01:25-10:42:27 astaro openvpn[27640]: TCPv4_SERVER link local (bound): ***.***.***.***:444
    2013:01:25-10:42:27 astaro openvpn[27640]: TCPv4_SERVER link remote: [undef]
    2013:01:25-10:42:27 astaro openvpn[27640]: MULTI: multi_init called, r=256 v=256
    2013:01:25-10:42:27 astaro openvpn[27640]: IFCONFIG POOL: base=10.242.2.4 size=62
    2013:01:25-10:42:27 astaro openvpn[27640]: IFCONFIG POOL LIST
    2013:01:25-10:42:27 astaro openvpn[27640]: MULTI: TCP INIT maxclients=1024 maxevents=1028
    2013:01:25-10:42:27 astaro openvpn[27640]: Initialization Sequence Completed 
Reply
  • 0
    I've now disconnected every site-to-site connection and every remote access connection, but in the OpenVpn log are still "close socket" entries. Is this normal?


    2013:01:25-10:42:26 astaro openvpn[26473]: TCP/UDP: Closing socket
    2013:01:25-10:42:26 astaro openvpn[26473]: /bin/ip route del 10.242.2.0/24
    2013:01:25-10:42:26 astaro openvpn[26473]: PLUGIN_CALL: POST /usr/lib/openvpn-utm.so/PLUGIN_DOWN status=0
    2013:01:25-10:42:26 astaro openvpn[26473]: Closing TUN/TAP interface
    2013:01:25-10:42:26 astaro openvpn[26473]: /bin/ip addr del dev tun0 local 10.242.2.1 peer 10.242.2.2
    2013:01:25-10:42:26 astaro openvpn[26473]: PLUGIN_CLOSE: /usr/lib/openvpn-utm.so
    2013:01:25-10:42:26 astaro openvpn[26473]: SIGTERM[hard,] received, process exiting
    2013:01:25-10:42:27 astaro openvpn[27632]: OpenVPN 2.1.1 i686-suse-linux [SSL] [LZO2] [EPOLL] built on Jul 9 2012
    2013:01:25-10:42:27 astaro openvpn[27632]: MANAGEMENT: client_uid=0
    2013:01:25-10:42:27 astaro openvpn[27632]: MANAGEMENT: client_gid=0
    2013:01:25-10:42:27 astaro openvpn[27632]: MANAGEMENT: unix domain socket listening on /var/run/ovpn_mgmt
    2013:01:25-10:42:27 astaro openvpn[27632]: WARNING: using --duplicate-cn and --client-config-dir together is probably not what you want
    2013:01:25-10:42:27 astaro openvpn[27632]: WARNING: --ifconfig-pool-persist will not work with --duplicate-cn
    2013:01:25-10:42:27 astaro openvpn[27632]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    2013:01:25-10:42:27 astaro openvpn[27632]: PLUGIN_INIT: POST /usr/lib/openvpn-utm.so '[/usr/lib/openvpn-utm.so]' intercepted=PLUGIN_UP|PLUGIN_DOWN|PLUGIN_AUTH_USER_PASS_VERIFY|PLUGIN_CLIENT_CONNECT|PLUGIN_CLIENT_DISCONNECT
    2013:01:25-10:42:27 astaro openvpn[27632]: Diffie-Hellman initialized with 1024 bit key
    2013:01:25-10:42:27 astaro openvpn[27632]: TLS-Auth MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
    2013:01:25-10:42:27 astaro openvpn[27632]: ROUTE default_gateway=84.74.144.1
    2013:01:25-10:42:27 astaro openvpn[27632]: TUN/TAP device tun0 opened
    2013:01:25-10:42:27 astaro openvpn[27632]: TUN/TAP TX queue length set to 100
    2013:01:25-10:42:27 astaro openvpn[27632]: /bin/ip link set dev tun0 up mtu 1500
    2013:01:25-10:42:27 astaro openvpn[27632]: /bin/ip addr add dev tun0 local 10.242.2.1 peer 10.242.2.2
    2013:01:25-10:42:27 astaro openvpn[27632]: PLUGIN_CALL: POST /usr/lib/openvpn-utm.so/PLUGIN_UP status=0
    2013:01:25-10:42:27 astaro openvpn[27632]: /bin/ip route add 10.242.2.0/24 via 10.242.2.2 dev tun0
    2013:01:25-10:42:27 astaro openvpn[27632]: Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
    2013:01:25-10:42:27 astaro openvpn[27640]: Listening for incoming TCP connection on 84.74.157.221:444
    2013:01:25-10:42:27 astaro openvpn[27640]: Socket Buffers: R=[87380->131072] S=[16384->131072]
    2013:01:25-10:42:27 astaro openvpn[27640]: TCPv4_SERVER link local (bound): ***.***.***.***:444
    2013:01:25-10:42:27 astaro openvpn[27640]: TCPv4_SERVER link remote: [undef]
    2013:01:25-10:42:27 astaro openvpn[27640]: MULTI: multi_init called, r=256 v=256
    2013:01:25-10:42:27 astaro openvpn[27640]: IFCONFIG POOL: base=10.242.2.4 size=62
    2013:01:25-10:42:27 astaro openvpn[27640]: IFCONFIG POOL LIST
    2013:01:25-10:42:27 astaro openvpn[27640]: MULTI: TCP INIT maxclients=1024 maxevents=1028
    2013:01:25-10:42:27 astaro openvpn[27640]: Initialization Sequence Completed 
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?