This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Remote access SSL does not work (resets connection)

Hi 

I'm trying to setup SSL remote access using RADIUS as the back end server. I have set it up using the guide below. The problem is it tries to connect and connection resets every time. The details are provided below please help

https://www.sophos.com/en-us/medialibrary/PDFs/documentation/utm90_Remote_Access_Via_SSL_geng.pdf 

On a side note- After fiddling around with it for long I managed to get it working on one machine but it does not work anywhere else. I think one of the things I did was to export the certificate and installed it on the client machine probably that helped but the same thing does not work on other client pc's. I've tried with all the certs in the drop down. I also have a public certificate from Lucky register in case we need it. 

Thanks
Vimal


Firmware version: 9.313-3
Pattern version: 83879


Client Logs

Sat Jul 11 22:33:35 2015 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
Sat Jul 11 22:33:35 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jul 11 22:33:35 2015 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Jul 11 22:33:35 2015 MANAGEMENT: >STATE:1436650415,RESOLVE,,,
Sat Jul 11 22:33:35 2015 Attempting to establish TCP connection with [AF_INET]81.***.***.***:443 [nonblock]
Sat Jul 11 22:33:35 2015 MANAGEMENT: >STATE:1436650415,TCP_CONNECT,,,
Sat Jul 11 22:33:36 2015 TCP connection established with [AF_INET]81.***.***.***:443
Sat Jul 11 22:33:36 2015 TCPv4_CLIENT link local: [undef]
Sat Jul 11 22:33:36 2015 TCPv4_CLIENT link remote: [AF_INET]81.***.***.***:443
Sat Jul 11 22:33:36 2015 MANAGEMENT: >STATE:1436650416,WAIT,,,
Sat Jul 11 22:33:36 2015 Connection reset, restarting [0]
Sat Jul 11 22:33:36 2015 SIGUSR1[soft,connection-reset] received, process restarting
Sat Jul 11 22:33:36 2015 MANAGEMENT: >STATE:1436650416,RECONNECTING,connection-reset,,
Sat Jul 11 22:33:36 2015 Restart pause, 5 second(s)

UTM Live Logs
2015:07:11-12:54:56 utm openvpn[24889]: vimal,10.242.2.4
2015:07:11-12:54:56 utm openvpn[24889]: REF_AaaUse1,10.242.2.8
2015:07:11-12:54:56 utm openvpn[24889]: sdm,10.242.2.12
2015:07:11-12:54:56 utm openvpn[24889]: MULTI: TCP INIT maxclients=1024 maxevents=1028
2015:07:11-12:54:56 utm openvpn[24889]: Initialization Sequence Completed
2015:07:11-13:39:40 utm openvpn[24889]: MANAGEMENT: Client connected from /var/run/openvpn_mgmt
2015:07:11-13:39:40 utm openvpn[24889]: MANAGEMENT: CMD 'status -1'
2015:07:11-13:39:50 utm openvpn[24889]: MANAGEMENT: Client disconnected
2015:07:11-22:35:40 utm openvpn[24889]: MANAGEMENT: Client connected from /var/run/openvpn_mgmt
2015:07:11-22:35:40 utm openvpn[24889]: MANAGEMENT: CMD 'verb 6'
2015:07:11-22:35:50 utm openvpn[24889]: MANAGEMENT: Client disconnected 

The above Live log is shown only once (does not repeat)
Settings
I've got two profiles
Compress SSL VPN traffic: unchecked.
Allow multiple concurrent connections per user: Unchecked
Encryption algorithm: AES-128-CBC
Authentication algorithm: SHA1
Key Size: 2048 bit
Server certificate:Radius Users (X509 user cert)
Key Lifetime: 28800


This thread was automatically locked due to age.
  • Hi, vimal, and welcome to the User BB!

    When you respond, please click on 'Go Advanced' below and attach a picture of the SSL VPN Profile open in edit mode.

    On the 'Advanced' tab, you should select the "Local X509 Cert" instead of the new cert you created.  This will eliminate sources of error during the debugging phase.

    Since you will need to download the configurations again, change to 'Protocol: UDP' on the 'Settings' tab to accelerate the tunnel and reduce latency.  If you haven't followed the Zeroeth Rule in Rulz and are not ready to make the recommended change, you will need to use the IP of "WAN (Address)" or a publicly-resolvable FQDN in 'Override hostname'.  Is there a reason that you changed the 'Interface Address' to "WAN (Address)" instead of "Any?" 

    Instead of using RADIUS, use Active Directory authentication.  This will simplify administration and will help to remove complexity and other sources of error.
    [LIST=1]In Active Directory, create a new Security Group "SSL VPN Users" and add in the desired users.
    • In WebAmin, at the bottom of the 'Advanced' tab of 'Definitions & Users >> Authentication Services', create a new Backend Group based on "SSL VPN Users" in the 'Groups' list, hit [Apply] and then [Prefetch now].
    • In 'Remote Access >> SSL', put the Backend Group from #2 into 'Users and Groups' in the 'Remote Access Profile'.
    • Now that the appropriate AD users have been added, you can either have them login to the User Portal or you can download the new setup package for each user from the 'Users' tab in 'Users & Groups' using a checkbox and the 'Actions' dropdown.
    • Run the setup.exe As Administrator on each client.
    [/LIST]
    Is that working for you?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob,

    Thanks for your reply. Converting to AD instead of RADIUS worked but not sure why it didn't work with RADIUS though. Could be a bug you think??

    Cheers for your help
    Vimal[:)]

    Hi, vimal, and welcome to the User BB!

    When you respond, please click on 'Go Advanced' below and attach a picture of the SSL VPN Profile open in edit mode.

    On the 'Advanced' tab, you should select the "Local X509 Cert" instead of the new cert you created.  This will eliminate sources of error during the debugging phase.

    Since you will need to download the configurations again, change to 'Protocol: UDP' on the 'Settings' tab to accelerate the tunnel and reduce latency.  If you haven't followed the Zeroeth Rule in Rulz and are not ready to make the recommended change, you will need to use the IP of "WAN (Address)" or a publicly-resolvable FQDN in 'Override hostname'.  Is there a reason that you changed the 'Interface Address' to "WAN (Address)" instead of "Any?" 

    Instead of using RADIUS, use Active Directory authentication.  This will simplify administration and will help to remove complexity and other sources of error.
    [LIST=1]In Active Directory, create a new Security Group "SSL VPN Users" and add in the desired users.
    • In WebAmin, at the bottom of the 'Advanced' tab of 'Definitions & Users >> Authentication Services', create a new Backend Group based on "SSL VPN Users" in the 'Groups' list, hit [Apply] and then [Prefetch now].
    • Now that the appropriate AD users have been added, you can either have them login to the User Portal or you can download the new setup package for each user from the 'Users' tab in 'Users & Groups' using a checkbox and the 'Actions' dropdown.
    • Run the setup.exe As Administrator on each client.
    [/LIST]
    Is that working for you?

    Cheers - Bob
  • You can do it with RADIUS, Vimal, but the setup in the WinServer is a bit tricky.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Thanks Bob,

    It works for me with UDP protocol only and as soon as I change the protocol to TCP I get the same error. I suspect something to do with the protocol but don't know exactly what. I'm yet to try the same with my RADIUS setup to see if that works with UDP but many thanks for your timely help.

    Much appreciated

    Thanks
    Vimal[:)]
  • Do you have a DNAT on Port 443 (HTTPS) set up on your WAN Address? It will have precedence over SSL VPN...
    Or do you use the Web Server Protection?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • I think scorpionking nailed it for you.

    Interesting, though.  My guess (vague, unrecorded memory) would be that the UTM can differentiate between Webserver Protection and the SSL VPN, so it has to be a NAT rule causing the problem.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • the UTM can differentiate between Webserver Protection and the SSL VPN
    Correct, as both of these will do a URI match.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1