[9.080][BUG] SSLVPN stops working

i have changed the role of client and server same problem

--Johannes

Hi Johannes,
Can you provide the openvpn.log?

Thanks,

Hi Bianca,

at this time i have installed v9.090-2, made a factoryreset and made a mimimum configuration, imported the SSL Client config, the tunnel came up, i can ping every destination on the other side of the tunnel but no other protocol works
I have a esxi server athome, so i have v9.006 and v9.075, and both works fine
with the same SSL Client config. On both sides automatic firewall rules.
The destination was unchanged.

the openvpn.log from v9.090-2
2013:04:07-17:18:56 gate openvpn[7288]: OpenVPN 2.3.0 i686-suse-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Mar 20 2013
2013:04:07-17:18:56 gate openvpn[7288]: MANAGEMENT: client_uid=0
2013:04:07-17:18:56 gate openvpn[7288]: MANAGEMENT: client_gid=0
2013:04:07-17:18:56 gate openvpn[7288]: MANAGEMENT: unix domain socket listening on /var/run/openvpn_mgmt_REF_SslCliOffice
2013:04:07-17:18:56 gate openvpn[7288]: WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
2013:04:07-17:18:56 gate openvpn[7288]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
2013:04:07-17:18:56 gate openvpn[7288]: PLUGIN_INIT: POST /usr/lib/openvpn/plugins/openvpn-plugin-utm.so '[/usr/lib/openvpn/plugins/openvpn-plugin-utm.so] [REF_SslCliOffice]' intercepted=PLUGIN_UP|PLUGIN_DOWN|PLUGIN_ROUTE_UP|PLUGIN_ROUTE_PREDOWN 
2013:04:07-17:18:56 gate openvpn[7288]: Socket Buffers: R=[87380->131072] S=[16384->131072]
2013:04:07-17:18:56 gate openvpn[7289]: Attempting to establish TCP connection with [AF_INET]:4466 [nonblock]
2013:04:07-17:18:57 gate openvpn[7289]: TCP connection established with [AF_INET]:4466 (via [AF_INET]192.168.99.254:43127)
2013:04:07-17:18:57 gate openvpn[7289]: TCPv4_CLIENT link local: [undef]
2013:04:07-17:18:57 gate openvpn[7289]: TCPv4_CLIENT link remote: [AF_INET]:4466
2013:04:07-17:18:57 gate openvpn[7289]: TLS: Initial packet from [AF_INET]:4466 (via [AF_INET]192.168.99.254:43127), sid=0c06bb4a 0110693c
2013:04:07-17:18:57 gate openvpn[7289]: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2013:04:07-17:18:57 gate openvpn[7289]: MANAGEMENT: Client connected from /var/run/openvpn_mgmt_REF_SslCliOffice
2013:04:07-17:18:57 gate openvpn[7289]: MANAGEMENT: CMD 'state'
2013:04:07-17:18:57 gate openvpn[7289]: MANAGEMENT: CMD 'state'
2013:04:07-17:18:57 gate openvpn[7289]: VERIFY OK: depth=1, C=de, L=Schweinfurt, O=PHS, CN=PHS VPN CA, emailAddress=astaro@phs.de
2013:04:07-17:18:57 gate openvpn[7289]: VERIFY X509NAME OK: C=de, L=Schweinfurt, O=PHS, CN=gate.destination.tld, emailAddress=astaro@phs.de
2013:04:07-17:18:57 gate openvpn[7289]: VERIFY OK: depth=0, C=de, L=Schweinfurt, O=PHS, CN=gate.destination.tld, emailAddress=astaro@phs.de
2013:04:07-17:18:58 gate openvpn[7289]: MANAGEMENT: CMD 'state'
2013:04:07-17:18:58 gate openvpn[7289]: MANAGEMENT: CMD 'state'
2013:04:07-17:18:58 gate openvpn[7289]: Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
2013:04:07-17:18:58 gate openvpn[7289]: Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
2013:04:07-17:18:58 gate openvpn[7289]: Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
2013:04:07-17:18:58 gate openvpn[7289]: Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
2013:04:07-17:18:58 gate openvpn[7289]: Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
2013:04:07-17:18:58 gate openvpn[7289]: [gate.destination.tld] Peer Connection Initiated with [AF_INET]:4466 (via [AF_INET]192.168.99.254:43127)
2013:04:07-17:18:59 gate openvpn[7289]: MANAGEMENT: CMD 'state'
2013:04:07-17:18:59 gate openvpn[7289]: MANAGEMENT: CMD 'state'
2013:04:07-17:19:00 gate openvpn[7289]: MANAGEMENT: CMD 'state'
2013:04:07-17:19:00 gate openvpn[7289]: SENT CONTROL [gate.destination.tld]: 'PUSH_REQUEST' (status=1)
2013:04:07-17:19:00 gate openvpn[7289]: PUSH: Received control message: 'PUSH_REPLY,route 10.2.120.0 255.255.255.0,setenv-safe remote_network_1 10.2.120.0/24,setenv-safe local_network_1 192.168.23.0/24,ifconfig 10.242.2.6 10.242.2.5'
2013:04:07-17:19:00 gate openvpn[7289]: OPTIONS IMPORT: --ifconfig/up options modified
2013:04:07-17:19:00 gate openvpn[7289]: OPTIONS IMPORT: route options modified
2013:04:07-17:19:00 gate openvpn[7289]: OPTIONS IMPORT: environment modified
2013:04:07-17:19:00 gate openvpn[7289]: ROUTE_GATEWAY 192.168.99.1/255.255.255.0 IFACE=eth2 HWADDR=00:0c:29:79:05:a4
2013:04:07-17:19:00 gate openvpn[7289]: TUN/TAP device tun0 opened
2013:04:07-17:19:00 gate openvpn[7289]: TUN/TAP TX queue length set to 100
2013:04:07-17:19:00 gate openvpn[7289]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
2013:04:07-17:19:00 gate openvpn[7289]: /bin/ip link set dev tun0 up mtu 1500
2013:04:07-17:19:00 gate openvpn[7289]: /bin/ip addr add dev tun0 local 10.242.2.6 peer 10.242.2.5
2013:04:07-17:19:00 gate openvpn[7289]: PLUGIN_CALL: POST /usr/lib/openvpn/plugins/openvpn-plugin-utm.so/PLUGIN_UP status=0
2013:04:07-17:19:00 gate openvpn[7289]: /bin/ip route add 10.2.120.0/24 via 10.242.2.5 dev tun0
2013:04:07-17:19:00 gate openvpn[7289]: id="2203" severity="info" sys="SecureNet" sub="vpn" event="Site-to-site VPN up" variant="ssl" connection="REF_SslCliOffice" address="192.168.99.254"
2013:04:07-17:19:00 gate openvpn[7289]: PLUGIN_CALL: POST /usr/lib/openvpn/plugins/openvpn-plugin-utm.so/PLUGIN_ROUTE_UP status=0
2013:04:07-17:19:00 gate openvpn[7289]: Initialization Sequence Completed
2013:04:07-17:19:00 gate openvpn[7289]: MANAGEMENT: CMD 'state'
2013:04:07-17:19:01 gate openvpn[7289]: MANAGEMENT: CMD 'state'
 

--Johannes

Hi Johannes,

My team colleague who is responsible for SSL VPN tested and the traffic runs successfully through the tunnel.
I think your problem is the NAT rules. You need to create a Masquerading rule from your Internal network to the External (internet). Let us know your feedback. [:)]
Regards 
Bianca

Hi Bianca,

i have a Masquerading rule from the Internal network to the External and a Firewall rule Internal-Any-Any
no other rules.

i have tested it to another firewall UTM120 v9.006, same thing.

But i have found out, all protocolls from Office (utm220 v9.006) or Customer (utm120 v9.006) to Home (v.9.090) works, but only ping from Home to Office or Customer through the ssl-tunnel.

There must be a firewall rule problem through the tunnel.

With the autopacket filter on, i see all packet from home to office over the 10.242.2.30 virtuell tunnel ip will be dropped (Default DROP livelog office utm). If i insert an additional firewallrule 10.242.2.30-Any-Internal  on office side than it works fine.
This rule on officeside i only need, if i use v9.080 or v9.090 at home.

--Johannes

If I got everything right that means the automatic inbound packetfilter rule for the SSL VPN site-to-site connection to your virtual home UTM is missing on your office UTM 9.006.

Are you running User Portal and the SSL VPN server both on TCP/443?

Hi d12fk,

no, that is what i want to say: the automatic firewall rules are set on both sites.
I have 3 virtual maschines at home with v9.006, v9.075 and v9.090.
This 3 versions have the same configuration. 
if i remove the 10.242.2.30-ANY-INTERNAL rule again on the office utm
i can start at home the v9.006 or the v9.075 and all works fine with the tunnel.
But if i start the v9.090 (v9.080 before) i need the additional 10.242.2.30-ANY-INTERNAL
rule on officeside.

The User Portal is on TCP/4455, SSLVPN on TCP/4466
--Johannes

How do you test connectivity? Do you have a client behind your home UTMs which you use, or are you testing from the home UTMs shell?

Hi,

i test it with a client behind the UTM.

--Johannes

Could you post the output of the command 'ip addr | grep tun' on both UTMs and the packetfilter log line where the SSL VPN packet is dropped.