Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 84 replies
  • Subscribers 4 subscribers
  • Views 110678 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[UPDATED] Reported issues in 9.1 GA release

dschmidl
Hi Everyone,

we want to inform you that we got a couple of customer reports about problems after GA of 9.1 and were our developement team is currently investigating the root cause.


Basically, the following issues could already be identified:


25736: RED firmwareupdate fails if upload takes longer than 3 minutes
>> Problem fixed and staged for version 9.101. Please contact support for a patch if required urgently.
>> Will be included in 9.101

25787: SSL VPN autopacketfilter rules are not set for backend group objects
>> Problem fixed and staged for version 9.101. Please contact support for a patch if required urgently
>> Will be included in 9.101

25742: ha: disabling virtual_mac for ha did not result in different mac addresses on master/slave
>> Under investigation

25868: performance regression in ins_accounting(): Postgres running on 100%
>> Will be included in 9.101

25868: Problem with compression feature in SSL VPN using non 9.100 clients
>> Please reload the SSL VPN client configuration from the user portal
>> Will be included in 9.102

25748: Sending overlay-fw on every Takeover/Restart of the UTM takes too long until all REDs are online again
>> Please wait about 10 minutes after a reboot/restart
>> Will be included in 9.101

25804: New APs not accepted by the UTM
>> Please contact support including Mac address and serial number of the device

25881: Some mailservers fail to establish smtp tls 1.2 connections
>> Planned for version 9.102

25730 Wifi [AP50] mesh: space in mesh_id leads to a reboot loop
>> Please avoid spaces in Mesh IDs
>> Will be included in 9.101

25812 Change Block password guessing to 9.0 default settings
>> Planned for 9.101

25788 Awed died without coredump and logentry due to large Mac address list 
>> Under investigation. Please avoid Mac address lists larger than 200 entries

25915 eDir SSO not working, because "user" contains the IP address and not the username
>> Planned for 9.102

25945 WAF Uploads are detected as virus infected when DualScan is active
>> Planned for 9.102


We also corrected a functionality in IPSec VPN that might cause tunnels not to come up. Please have a look at In 9.1 IPSec connections could use bypass policies for a remote network without static routes. for further information.

Last but not least, we have published another knowledge base article about POP3 proxy with SSL encryption here http://www.sophos.com/en-us/support/knowledgebase/119405.aspx

We plan a 9.101 beginning of next week.

Once we have more information, I will update you here. 

Cheers
Dominic


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    Hi Bob & Oliver,

    I can confirm the Authenticate/Decrypt packet error.
    Since the upgrade to UTM firmware 9.100-16, I have configured a clean installation of OpenVPN client on Debian.
    When traffic is generated the tunnel will shutdown after a while.

    Symptoms are exactly as described on the bug report site of ArchLinux.
    https://bugs.archlinux.org/task/34055

    My SSLVPN log reveals that I'm running the affected version :

    2013:06:03-20:11:19 astaro openvpn[4832]: OpenVPN 2.3.0 i686-suse-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on May  8 2013

    Here some log output of openvpn server : 

    2013:06:03-20:10:00 astaro openvpn[26923]: TCP connection established with [AF_INET]82.169.63.11:41594 (via [AF_INET]***.***.80.8:443)
    2013:06:03-20:10:01 astaro openvpn[26923]: 82.169.63.11:41594 TLS: Initial packet from [AF_INET]82.169.63.11:41594 (via [AF_INET]***.***.80.8:443), sid=aa18bef6 025a383f
    2013:06:03-20:10:02 astaro openvpn[26923]: 82.169.63.11:41594 VERIFY OK: depth=0, C=nl, L=Eindhoven, O=Acme Internet Solutions, CN=Femke Mercurio, emailAddress=femkev@somewhere.com
    2013:06:03-20:10:02 astaro openvpn[26923]: 82.169.63.11:41594 VERIFY OK: depth=1, C=nl, L=Eindhoven, O=Acme, CN=Acme VPN CA, emailAddress=bram@Acme.nl
    2013:06:03-20:10:02 astaro openvpn[26923]: 82.169.63.11:41594 VERIFY OK: depth=1, C=nl, L=Eindhoven, O=Acme, CN=Acme VPN CA, emailAddress=bram@Acme.nl
    2013:06:03-20:10:02 astaro openvpn[26923]: 82.169.63.11:41594 VERIFY OK: depth=0, C=nl, L=Eindhoven, O=Acme Internet Solutions, CN=Femke Mercurio, emailAddress=femkev@somewhere.com
    2013:06:03-20:10:03 astaro openvpn[26923]: 82.169.63.11:41594 PLUGIN_CALL: POST /usr/lib/openvpn/plugins/openvpn-plugin-utm.so/PLUGIN_AUTH_USER_PASS_VERIFY status=2
    2013:06:03-20:10:03 astaro openvpn[26923]: 82.169.63.11:41594 TLS: Username/Password authentication deferred for username 'femkev@somewhere.com' [CN SET]
    2013:06:03-20:10:03 astaro openvpn[26923]: 82.169.63.11:41594 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    2013:06:03-20:10:03 astaro openvpn[26923]: 82.169.63.11:41594 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    2013:06:03-20:10:03 astaro openvpn[26923]: 82.169.63.11:41594 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    2013:06:03-20:10:03 astaro openvpn[26923]: 82.169.63.11:41594 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    2013:06:03-20:10:03 astaro openvpn[26923]: 82.169.63.11:41594 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
    2013:06:03-20:10:03 astaro openvpn[26923]: 82.169.63.11:41594 [femkev@somewhere.com] Peer Connection Initiated with [AF_INET]82.169.63.11:41594 (via [AF_INET]***.***.80.8:443)
    2013:06:03-20:10:03 astaro openvpn[26923]: femkev@somewhere.com/82.169.63.11:41594 OPTIONS IMPORT: reading client specific options from: /etc/openvpn/conf.d/femkev@somewhere.com
    2013:06:03-20:10:03 astaro openvpn[26923]: femkev@somewhere.com/82.169.63.11:41594 MULTI_sva: pool returned IPv4=10.60.188.6, IPv6=(Not enabled)
    2013:06:03-20:10:03 astaro openvpn[26923]: id="2201" severity="info" sys="SecureNet" sub="vpn" event="Connection started" username="femkev@somewhere.com" variant="ssl" srcip="82.169.63.11" virtual_ip="10.60.188.6"
    2013:06:03-20:10:03 astaro openvpn[26923]: femkev@somewhere.com/82.169.63.11:41594 PLUGIN_CALL: POST /usr/lib/openvpn/plugins/openvpn-plugin-utm.so/PLUGIN_CLIENT_CONNECT status=0
    2013:06:03-20:10:03 astaro openvpn[26923]: femkev@somewhere.com/82.169.63.11:41594 OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_e0ca0ba6c3820545c03a922fd3629616.tmp
    2013:06:03-20:10:03 astaro openvpn[26923]: femkev@somewhere.com/82.169.63.11:41594 MULTI: Learn: 10.60.188.6 -> femkev@somewhere.com/82.169.63.11:41594
    2013:06:03-20:10:03 astaro openvpn[26923]: femkev@somewhere.com/82.169.63.11:41594 MULTI: primary virtual IP for femkev@somewhere.com/82.169.63.11:41594: 10.60.188.6
    2013:06:03-20:10:05 astaro openvpn[26923]: femkev@somewhere.com/82.169.63.11:41594 PUSH: Received control message: 'PUSH_REQUEST'
    2013:06:03-20:10:05 astaro openvpn[26923]: femkev@somewhere.com/82.169.63.11:41594 send_push_reply(): safe_cap=940
    2013:06:03-20:10:05 astaro openvpn[26923]: femkev@somewhere.com/82.169.63.11:41594 SENT CONTROL [femkev@somewhere.com]: 'PUSH_REPLY,route 10.60.188.1,topology net30,ping 10,ping-restart 120,route 192.168.100.0 255.255.255.0,route 192.168.255.0 255.255.255.0,dhcp-option DNS 192.168.100.254,dhcp-option DOMAIN Acme.nl,ifconfig 10.60.188.6 10.60.188.5' (status=1)
    2013:06:03-20:10:17 astaro openvpn[26923]: femkev@somewhere.com/82.169.63.11:41594 write TCPv4_SERVER: Connection reset by peer (code=104)
    2013:06:03-20:10:17 astaro openvpn[26923]: femkev@somewhere.com/82.169.63.11:41594 write TCPv4_SERVER: Broken pipe (code=32)
    2013:06:03-20:10:17 astaro openvpn[26923]: femkev@somewhere.com/82.169.63.11:41594 write TCPv4_SERVER: Broken pipe (code=32)
    2013:06:03-20:10:17 astaro openvpn[26923]: femkev@somewhere.com/82.169.63.11:41594 write TCPv4_SERVER: Broken pipe (code=32)
    2013:06:03-20:10:17 astaro openvpn[26923]: femkev@somewhere.com/82.169.63.11:41594 write TCPv4_SERVER: Broken pipe (code=32)
    2013:06:03-20:10:17 astaro openvpn[26923]: femkev@somewhere.com/82.169.63.11:41594 write TCPv4_SERVER: Broken pipe (code=32)
    2013:06:03-20:10:17 astaro openvpn[26923]: femkev@somewhere.com/82.169.63.11:41594 write TCPv4_SERVER: Broken pipe (code=32)

    Thanks for your time !

    Cheers,

    Bram
  • 0 in reply to BAlfson
    Oliver, Try deleting the client, downloading a new client from the UTM and reloading the client.  Any luck with that?

    Cheers - Bob


    Hi Bob & Bram,

    i am connecting from linux with openvpn version 2.2.2. At the moment i switched back to UTM 9.006-5 to have a working vpn connection in my company. So it is more difficult to check this with the new client.

    Bram, do you have a newer client to check this with UTM 9.1?

    Cheers

    Oliver
  • 0 in reply to olivpass
    Today I upgraded to Firmware version: 9.101-12.
    I compared SSLVPN configs (*.ovpn) Firmware : 9.100-16 vs 9.101-12.
    There is no difference, so no need to re-install the *.ovpn file.

    Tested with following clients : 

    pi@raspbmc:/var/log$ openvpn --version
    OpenVPN 2.2.1 arm-linux-gnueabihf [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Apr 28 2012

    After generating traffic, the tunnel is reset as described earlier :

    2013:06:05-14:34:29 astaro openvpn[4659]: martinbankers@somewhere.com/82.169.63.11:46687 write TCPv4_SERVER: Connection reset by peer (code=104)
    2013:06:05-14:34:29 astaro openvpn[4659]: martinbankers@somewhere.com/82.169.63.11:46687 write TCPv4_SERVER: Broken pipe (code=32)
    2013:06:05-14:34:29 astaro openvpn[4659]: martinbankers@somewhere.com/82.169.63.11:46687 write TCPv4_SERVER: Broken pipe (code=32)
    2013:06:05-14:34:29 astaro openvpn[4659]: martinbankers@somewhere.com/82.169.63.11:46687 write TCPv4_SERVER: Broken pipe (code=32)
    2013:06:05-14:34:29 astaro openvpn[4659]: martinbankers@somewhere.com/82.169.63.11:46687 write TCPv4_SERVER: Broken pipe (code=32) 

    Windows 7 Client (fresh install of client & config ; downloaded from UserPortal w/ 9.101-12 firmware.

    Client log :

    Wed Jun 05 14:44:02 2013 OpenVPN 2.3.0 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [IPv6] built on Feb 25 2013
    ---
    Generating traffic
    ---
    Wed Jun 05 14:51:14 2013 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #51589 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings
    Wed Jun 05 14:51:14 2013 Fatal decryption error (process_incoming_link), restarting
    Wed Jun 05 14:51:14 2013 SIGUSR1[soft,decryption-error] received, process restarting
    Wed Jun 05 14:51:14 2013 MANAGEMENT: >STATE:1370436674,RECONNECTING,decryption-error,,
    Wed Jun 05 14:51:14 2013 Restart pause, 5 second(s)

    Server log:

    2013:06:05-14:51:13 astaro openvpn[4659]: martinbankers@somewhere.com/82.169.63.11:64915 write TCPv4_SERVER: Connection reset by peer (code=104)
    2013:06:05-14:51:13 astaro openvpn[4659]: martinbankers@somewhere.com/82.169.63.11:64915 write TCPv4_SERVER: Broken pipe (code=32)
    2013:06:05-14:51:13 astaro openvpn[4659]: martinbankers@somewhere.com/82.169.63.11:64915 write TCPv4_SERVER: Broken pipe (code=32)
    2013:06:05-14:51:13 astaro openvpn[4659]: martinbankers@somewhere.com/82.169.63.11:64915 write TCPv4_SERVER: Broken pipe (code=32)
    2013:06:05-14:51:13 astaro openvpn[4659]: martinbankers@somewhere.com/82.169.63.11:64915 write TCPv4_SERVER: Broken pipe (code=32)
    2013:06:05-14:51:13 astaro openvpn[4659]: martinbankers@somewhere.com/82.169.63.11:64915 write TCPv4_SERVER: Broken pipe (code=32)
    2013:06:05-14:51:13 astaro openvpn[4659]: martinbankers@somewhere.com/82.169.63.11:64915 write TCPv4_SERVER: Broken pipe (code=32) 

    Please update OpenVPN Astaro package to 2.3.0-3 as described in bug report :

    https://bugs.archlinux.org/task/34055
  • 0 in reply to Bram1nat0r
    Hi, 

    The following bugs I can report after update from 9.006-5 to 9.101-12 last night:
    - WebAdmin webserver not running - restarting fails
    - SSH console access log in as loginuser fails (access denied). I'm 99,99% sure that I am using the right password

    I'm running a virtual instance on a Mac Mini with VMware Fusion.

    Any ideas on how to gain SSH access without reinstalling ?
    In the 9.1-beta forum I saw something that after disabling IPv6 the httpd will work again.

    Cheers
    JockyW
  • 0
    Hi Bram and Oliver.  In the 9.101 document linked to above by Siarom, Sophos comments that there will be a fix in 9.102 for "•25868: Problem with compression feature in SSL VPN using non 9.100 clients >> Please reload the SSL VPN client configuration from the user portal."  Has either one of you tried downloading the 9.101 Client to work with the 9.101 server?

    Hi, JockyW - From the console, you can login directly as root.  Have you tried restoring a configuration backup from before the Up2Date?  That would require a reboot with a backup in the root of a USB memory stick.  Any luck with that?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    Thanks for your answer.
    Imho it isn't a compression error. Compression feature is disabled in my configuration.
    As also stated in my previous post, there's no reason to reload the config pulled from the 9.101-12 version, because they are identical to previous configs.

    As to answer your question : Has either one of you tried downloading the 9.101 Client to work with the 9.101 server?

    As mentioned in my previous post, I did download a fresh copy of the 9.101 client sw with configuration from the Userportal onto a win7 client.
    I succesfully connected the client, but several minutes in a datatransfer, the client resets the connection because of an Authenticate/Decrypt packet error: bad packet ID (may be a replay).
    This disconnect is the same as on a non-9.100 client.
    Problem here is definitely on the serverside !
    And I don't think bugfix 25868 will solve this.

    Hopefully this bug will be picked up soon.
  • 0 in reply to BAlfson


    Hi, JockyW - From the console, you can login directly as root.  Have you tried restoring a configuration backup from before the Up2Date?  That would require a reboot with a backup in the root of a USB memory stick.  Any luck with that?

    Cheers - Bob

    Thanks Bob, it's running perfect again. I logged in as root on the local console and just had to reboot it. During boot I saw a message it could not start or initialize PostgreSQL followed by an upgrade of PostgreSQL. After that all perfect and I just upgraded to the latest 9.1 version w/o problems.

    Thx again!

    Cheers
    JockyW
  • 0
    Thanks, Bram, for confirming.  When errors pop up from home-license users, it's not certain that one of the Sophos people will see the post.  I think they have their eye on this thread though.

    If anyone that has this issue has a paid license, please get a ticket submitted to Support.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    I have checked. My license includes standard support.
    I will check to see if I can submit a ticket this evening.

    *EDIT* Nevermind. Standard support offers only contact Local Partner.

    @Oliver : Can you submit a ticket ?

    Cheers,

    Bram
Unfiltered HTML