This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN problems after upgrade to 9.100-16 (probable compression issue)

Hi

I am using UTM9. I have some SSL VPNs established from Mikrotik routers (the UTM9 is the server). This used to work perfectly.

Last night I upgraded to 9.100-16 and the SSL VPNs have stopped working.

The SSL live log is full of messages stating "Bad LZO decompression header byte: 69". Compression is OFF in UTM9 as the clients don't support it, this setting (and the settings on the client) are unchanged from pre-upgrade, when it all worked.

The clients connect fine, so the authentication is apparently working.

There is another error in the log, 
2013:05:18-11:14:46 steelblue openvpn[16411]: x.x.137.137:32830 WARNING: 'comp-lzo' is present in local config but missing in remote config, local='comp-lzo' 

Yet the checkbox for "use compression" in the GUI is firmly disabled.


Any help will be gratefully received!

Giles.


This thread was automatically locked due to age.
  • yes, i have the same problem after update, sslvpn does not working !
    any solutions ??? its a bug ?
  • Aborman, first post after 4+ years? Welcome!

    I don't know how to add the line to the client config files for Mikrotik.  For PC Remote Access or site-to-site with another ASG/UTM, install the new client configuration from the 9.100-16 box.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob

    The issue is that I don't want compression enabled: it is not enabled in the UTM GUI but the underlying OpenVPN connection still seems to have it turned on in its configuration file.

    I can't find the underlying .conf file in /etc - presumably the OpenVPN daemon is chrooted so I can't double-check.

    Cheers
    Giles.
  • The issue isn't compression, it's that the newer version is looking for the parameter set to "no" on the client side, too, but (I'm guessing) the client was set up when "no" was the default, and the parameter appeaered only when it had a value of "yes."  I think this is a "bug" in that an Up2Date should not require re-installation.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob

    Sounds about right - I managed to find the config file in /var/sec/chroot-openvpn/etc/openvpn/openvpn.conf, and in there is the line "comp-lzo no".

    According to this (albeit old) information, this isn't a valid entry.

    The clients in my case don't even support compression so I presume omit this line altogether. The server then is clearly interpreting it as being present.

    If this is a bug with UTM9, which seems likely as it used to work pre-update, will they spot this discussion and issue a fix or should I attempt to report a bug directly to them? Using the home license I'm not entitled to any "real" support..

    Thanks,
    Giles.
  • I suggest you post a link to this thread in the https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/28917 thread.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Thanks Bob, have done so.

    Giles.