Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 2826 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN client flapping on end user system

adnan.munir
Hello Guys, 

A few of users SSL VPN client start flapping due to which SSL vpn disconnects and connects randomly automatically. It happens with random users.

Sometimes it does not. 

Any thoughts what could be reason. Also i observed when i myself use SSL VPN client it slows the remote desktop connection as well as other services. But if i use Cisco VPN client which use IPsec it works normally.

Regards
Adnan


This thread was automatically locked due to age.
  • 0
    when i myself use SSL VPN client it slows the remote desktop connection as well as other services
    Do you have it set to use TCP (default) or UDP (Remote Access > SSL > Settings)?  UDP will give you a little better performance, but there is overhead involved, so you will never get full speed.

    As far as the flapping goes, you'll have to look in the SSL VPN logs, both client and UTM side to gather more information.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Hi Scott, 

    I am using TCP protocol instead if UDP. 
    Below logs i have collected from end user machine. But after re-installation of SSL VPN client it works for somedays. But user again start facing problem. Logs are showing tunnel interface on user system gets down....which is strange for me.

    Tue Jun 09 11:17:23 2015 OpenVPN 2.3.0 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [IPv6] built on Jul  3 2014
    Enter Management Password:
    Tue Jun 09 11:17:23 2015 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
    Tue Jun 09 11:17:23 2015 Need hold release from management interface, waiting...
    Tue Jun 09 11:17:23 2015 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
    Tue Jun 09 11:17:24 2015 MANAGEMENT: CMD 'state on'
    Tue Jun 09 11:17:24 2015 MANAGEMENT: CMD 'log all on'
    Tue Jun 09 11:17:24 2015 MANAGEMENT: CMD 'hold off'
    Tue Jun 09 11:17:24 2015 MANAGEMENT: CMD 'hold release'
    Tue Jun 09 11:17:32 2015 MANAGEMENT: CMD 'username "Auth" "abc"'
    Tue Jun 09 11:17:32 2015 MANAGEMENT: CMD 'password [...]'
    Tue Jun 09 11:17:32 2015 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Tue Jun 09 11:17:32 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Tue Jun 09 11:17:32 2015 Socket Buffers: R=[65536->65536] S=[65536->65536]
    Tue Jun 09 11:17:32 2015 MANAGEMENT: >STATE:1433837852,RESOLVE,,,
    Tue Jun 09 11:17:33 2015 Attempting to establish TCP connection with [AF_INET]46.27.53.100:443 [nonblock]
    Tue Jun 09 11:17:33 2015 MANAGEMENT: >STATE:1433837853,TCP_CONNECT,,,
    Tue Jun 09 11:17:34 2015 TCP connection established with [AF_INET]46.27.53.100:443
    Tue Jun 09 11:17:34 2015 TCPv4_CLIENT link local: [undef]
    Tue Jun 09 11:17:34 2015 TCPv4_CLIENT link remote: [AF_INET]46.27.53.100:443
    Tue Jun 09 11:17:34 2015 MANAGEMENT: >STATE:1433837854,WAIT,,,
    Tue Jun 09 11:17:34 2015 MANAGEMENT: >STATE:1433837854,AUTH,,,
    Tue Jun 09 11:17:34 2015 TLS: Initial packet from [AF_INET]46.27.53.100:443, sid=51a8bbea 3d29c076
    Tue Jun 09 11:17:34 2015 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Tue Jun 09 11:17:37 2015 VERIFY OK: depth=1, C=uk, L=London, O=ExpressCloud, CN=ExpressCloud VPN CA, emailAddress=imran.dar@xyz.com
    Tue Jun 09 11:17:37 2015 VERIFY X509NAME OK: C=uk, L=London, O=ExpressCloud, CN=sophos.xyz.com, emailAddress=abc@xyz.com
    Tue Jun 09 11:17:37 2015 VERIFY OK: depth=0, C=uk, L=London, O=ExpressCloud, CN=sophos.xyz.com, emailAddress=abc@xyz.com
    Tue Jun 09 11:17:44 2015 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    Tue Jun 09 11:17:44 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Tue Jun 09 11:17:44 2015 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    Tue Jun 09 11:17:44 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
    Tue Jun 09 11:17:44 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    Tue Jun 09 11:17:44 2015 [sophos.xyz.com] Peer Connection Initiated with [AF_INET]46.27.53.100:443
    Tue Jun 09 11:17:45 2015 MANAGEMENT: >STATE:1433837865,GET_CONFIG,,,
    Tue Jun 09 11:17:46 2015 SENT CONTROL [sophos.xyz.com]: 'PUSH_REQUEST' (status=1)
    Tue Jun 09 11:17:47 2015 PUSH: Received control message: 'PUSH_REPLY,route 10.242.2.1,topology net30,ping 10,ping-restart 120,route 10.10.11.31 255.255.255.255,route 10.10.11.46 255.255.255.255,dhcp-option DNS 10.10.11.14,dhcp-option DNS 8.8.8.8,ifconfig 10.242.2.26 10.242.2.25'
    Tue Jun 09 11:17:47 2015 OPTIONS IMPORT: timers and/or timeouts modified
    Tue Jun 09 11:17:47 2015 OPTIONS IMPORT: --ifconfig/up options modified
    Tue Jun 09 11:17:47 2015 OPTIONS IMPORT: route options modified
    Tue Jun 09 11:17:47 2015 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
    Tue Jun 09 11:17:47 2015 ROUTE_GATEWAY 192.168.20.250/255.255.255.0 I=3 HWADDR=f8:b1:56[:D]7:8a:a4
    Tue Jun 09 11:17:47 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
    Tue Jun 09 11:17:47 2015 MANAGEMENT: >STATE:1433837867,ASSIGN_IP,,10.242.2.26,
    Tue Jun 09 11:17:47 2015 open_tun, tt->ipv6=0
    Tue Jun 09 11:17:47 2015 TAP-WIN32 device [Local Area Connection] opened: \.\Global\{08A47DFF-0AA1-44DE-8BC3-64D714E6A1C5}.tap
    Tue Jun 09 11:17:47 2015 TAP-Windows Driver Version 9.9 
    Tue Jun 09 11:17:47 2015 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.242.2.26/255.255.255.252 on interface {08A47DFF-0AA1-44DE-8BC3-64D714E6A1C5} [DHCP-serv: 10.242.2.25, lease-time: 31536000]
    Tue Jun 09 11:17:47 2015 NOTE: FlushIpNetTable failed on interface [7] {08A47DFF-0AA1-44DE-8BC3-64D714E6A1C5} (status=5) : Access is denied.  
    Tue Jun 09 11:17:51 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:17:51 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:17:55 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:17:55 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:17:56 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:17:56 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:17:57 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:17:57 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:17:58 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:17:58 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:18:00 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:18:00 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:18:01 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:18:01 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:18:02 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:18:02 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:18:03 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:18:03 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:18:04 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:18:04 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:18:05 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:18:05 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:18:06 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:18:06 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:18:07 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:18:07 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:18:08 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:18:08 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:18:09 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:18:09 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:18:10 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:18:10 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:18:11 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:18:11 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:18:12 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:18:12 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:18:14 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:18:14 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:18:15 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:18:15 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:18:16 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:18:16 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:18:17 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:18:17 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:18:18 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:18:18 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:18:20 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:18:20 2015 Route: Waiting for TUN/TAP interface to come up...
    Tue Jun 09 11:18:21 2015 TEST ROUTES: 0/0 succeeded len=4 ret=0 a=0 u/d=down
    Tue Jun 09 11:18:21 2015 MANAGEMENT: >STATE:1433837901,ADD_ROUTES,,,
    Tue Jun 09 11:18:21 2015 C:\Windows\system32\route.exe ADD 46.27.53.100 MASK 255.255.255.255 192.168.20.250
    Tue Jun 09 11:18:21 2015 Route addition via service succeeded
    Tue Jun 09 11:18:21 2015 C:\Windows\system32\route.exe ADD 10.242.2.1 MASK 255.255.255.255 10.242.2.25
    Tue Jun 09 11:18:21 2015 Warning: route gateway is not reachable on any active network adapters: 10.242.2.25
    Tue Jun 09 11:18:21 2015 Route addition via service failed
    Tue Jun 09 11:18:21 2015 C:\Windows\system32\route.exe ADD 10.10.11.31 MASK 255.255.255.255 10.242.2.25
    Tue Jun 09 11:18:21 2015 Warning: route gateway is not reachable on any active network adapters: 10.242.2.25
    Tue Jun 09 11:18:21 2015 Route addition via service failed
    Tue Jun 09 11:18:21 2015 C:\Windows\system32\route.exe ADD 10.10.11.46 MASK 255.255.255.255 10.242.2.25
    Tue Jun 09 11:18:21 2015 Warning: route gateway is not reachable on any active network adapters: 10.242.2.25
    Tue Jun 09 11:18:21 2015 Route addition via service failed
    SYSTEM ROUTING TABLE
    0.0.0.0 0.0.0.0 192.168.20.250 p=0 i=3 t=4 pr=3 a=1900045 h=0 m=20/0/0/0/0
    46.27.53.100 255.255.255.255 192.168.20.250 p=0 i=3 t=4 pr=3 a=0 h=0 m=21/0/0/0/0
    127.0.0.0 255.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=2 a=1900060 h=0 m=306/0/0/0/0
    127.0.0.1 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=1900060 h=0 m=306/0/0/0/0
    127.255.255.255 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=1900060 h=0 m=306/0/0/0/0
    192.168.20.0 255.255.255.0 192.168.20.58 p=0 i=3 t=3 pr=2 a=1900045 h=0 m=276/0/0/0/0
    192.168.20.58 255.255.255.255 192.168.20.58 p=0 i=3 t=3 pr=2 a=1900045 h=0 m=276/0/0/0/0
    192.168.20.255 255.255.255.255 192.168.20.58 p=0 i=3 t=3 pr=2 a=1900045 h=0 m=276/0/0/0/0
    224.0.0.0 240.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=2 a=1900060 h=0 m=306/0/0/0/0
    224.0.0.0 240.0.0.0 192.168.20.58 p=0 i=3 t=3 pr=2 a=1900053 h=0 m=276/0/0/0/0
    255.255.255.255 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=1900060 h=0 m=306/0/0/0/0
    255.255.255.255 255.255.255.255 192.168.20.58 p=0 i=3 t=3 pr=2 a=1900053 h=0 m=276/0/0/0/0
    SYSTEM ADAPTER LIST
    Sophos SSL VPN Adapter
      Index = 7
      GUID = {08A47DFF-0AA1-44DE-8BC3-64D714E6A1C5}
      IP = 0.0.0.0/0.0.0.0 
      MAC = 00:ff:08:a4:7d:ff
      GATEWAY = 0.0.0.0/255.255.255.255 
      DHCP SERV =  
      DHCP LEASE OBTAINED = Tue Jun 09 11:18:21 2015
      DHCP LEASE EXPIRES  = Tue Jun 09 11:18:21 2015
      DNS SERV =  
    Intel(R) 82579LM Gigabit Network Connection
      Index = 3
      GUID = {21D4F33F-7277-4C08-83E9-57029C7FD707}
      IP = 192.168.20.58/255.255.255.0 
      MAC = f8:b1:56[:D]7:8a:a4
      GATEWAY = 192.168.20.250/255.255.255.255 
      DHCP SERV = 192.168.40.30/255.255.255.255 
      DHCP LEASE OBTAINED = Tue Jun 09 11:17:49 2015
      DHCP LEASE EXPIRES  = Wed Jun 17 11:17:49 2015
      DNS SERV = 192.168.20.17/255.255.255.255 192.168.40.31/255.255.255.255 8.8.8.8/255.255.255.255 
    Tue Jun 09 11:18:21 2015 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )
    Tue Jun 09 11:18:21 2015 MANAGEMENT: >STATE:1433837901,CONNECTED,ERROR,10.242.2.26,46.27.53.100
  • 0
    Guys any thought why SSL VPN client interface is getting down all the time. If check internet connectivity it remains stable. 

    Regards
    Adnan
Unfiltered HTML