Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 30294 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Remote access SSL does not work (resets connection)

vimal
Hi 

I'm trying to setup SSL remote access using RADIUS as the back end server. I have set it up using the guide below. The problem is it tries to connect and connection resets every time. The details are provided below please help

https://www.sophos.com/en-us/medialibrary/PDFs/documentation/utm90_Remote_Access_Via_SSL_geng.pdf 

On a side note- After fiddling around with it for long I managed to get it working on one machine but it does not work anywhere else. I think one of the things I did was to export the certificate and installed it on the client machine probably that helped but the same thing does not work on other client pc's. I've tried with all the certs in the drop down. I also have a public certificate from Lucky register in case we need it. 

Thanks
Vimal


Firmware version: 9.313-3
Pattern version: 83879


Client Logs

Sat Jul 11 22:33:35 2015 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
Sat Jul 11 22:33:35 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jul 11 22:33:35 2015 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Jul 11 22:33:35 2015 MANAGEMENT: >STATE:1436650415,RESOLVE,,,
Sat Jul 11 22:33:35 2015 Attempting to establish TCP connection with [AF_INET]81.***.***.***:443 [nonblock]
Sat Jul 11 22:33:35 2015 MANAGEMENT: >STATE:1436650415,TCP_CONNECT,,,
Sat Jul 11 22:33:36 2015 TCP connection established with [AF_INET]81.***.***.***:443
Sat Jul 11 22:33:36 2015 TCPv4_CLIENT link local: [undef]
Sat Jul 11 22:33:36 2015 TCPv4_CLIENT link remote: [AF_INET]81.***.***.***:443
Sat Jul 11 22:33:36 2015 MANAGEMENT: >STATE:1436650416,WAIT,,,
Sat Jul 11 22:33:36 2015 Connection reset, restarting [0]
Sat Jul 11 22:33:36 2015 SIGUSR1[soft,connection-reset] received, process restarting
Sat Jul 11 22:33:36 2015 MANAGEMENT: >STATE:1436650416,RECONNECTING,connection-reset,,
Sat Jul 11 22:33:36 2015 Restart pause, 5 second(s)

UTM Live Logs
2015:07:11-12:54:56 utm openvpn[24889]: vimal,10.242.2.4
2015:07:11-12:54:56 utm openvpn[24889]: REF_AaaUse1,10.242.2.8
2015:07:11-12:54:56 utm openvpn[24889]: sdm,10.242.2.12
2015:07:11-12:54:56 utm openvpn[24889]: MULTI: TCP INIT maxclients=1024 maxevents=1028
2015:07:11-12:54:56 utm openvpn[24889]: Initialization Sequence Completed
2015:07:11-13:39:40 utm openvpn[24889]: MANAGEMENT: Client connected from /var/run/openvpn_mgmt
2015:07:11-13:39:40 utm openvpn[24889]: MANAGEMENT: CMD 'status -1'
2015:07:11-13:39:50 utm openvpn[24889]: MANAGEMENT: Client disconnected
2015:07:11-22:35:40 utm openvpn[24889]: MANAGEMENT: Client connected from /var/run/openvpn_mgmt
2015:07:11-22:35:40 utm openvpn[24889]: MANAGEMENT: CMD 'verb 6'
2015:07:11-22:35:50 utm openvpn[24889]: MANAGEMENT: Client disconnected 

The above Live log is shown only once (does not repeat)
Settings
I've got two profiles
Compress SSL VPN traffic: unchecked.
Allow multiple concurrent connections per user: Unchecked
Encryption algorithm: AES-128-CBC
Authentication algorithm: SHA1
Key Size: 2048 bit
Server certificate:Radius Users (X509 user cert)
Key Lifetime: 28800


This thread was automatically locked due to age.
Parents
  • 0
    Hi, vimal, and welcome to the User BB!

    When you respond, please click on 'Go Advanced' below and attach a picture of the SSL VPN Profile open in edit mode.

    On the 'Advanced' tab, you should select the "Local X509 Cert" instead of the new cert you created.  This will eliminate sources of error during the debugging phase.

    Since you will need to download the configurations again, change to 'Protocol: UDP' on the 'Settings' tab to accelerate the tunnel and reduce latency.  If you haven't followed the Zeroeth Rule in Rulz and are not ready to make the recommended change, you will need to use the IP of "WAN (Address)" or a publicly-resolvable FQDN in 'Override hostname'.  Is there a reason that you changed the 'Interface Address' to "WAN (Address)" instead of "Any?" 

    Instead of using RADIUS, use Active Directory authentication.  This will simplify administration and will help to remove complexity and other sources of error.
    [LIST=1]In Active Directory, create a new Security Group "SSL VPN Users" and add in the desired users.
    • In WebAmin, at the bottom of the 'Advanced' tab of 'Definitions & Users >> Authentication Services', create a new Backend Group based on "SSL VPN Users" in the 'Groups' list, hit [Apply] and then [Prefetch now].
    • In 'Remote Access >> SSL', put the Backend Group from #2 into 'Users and Groups' in the 'Remote Access Profile'.
    • Now that the appropriate AD users have been added, you can either have them login to the User Portal or you can download the new setup package for each user from the 'Users' tab in 'Users & Groups' using a checkbox and the 'Actions' dropdown.
    • Run the setup.exe As Administrator on each client.
    [/LIST]
    Is that working for you?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    Thanks for your reply. Converting to AD instead of RADIUS worked but not sure why it didn't work with RADIUS though. Could be a bug you think??

    Cheers for your help
    Vimal[:)]

    Hi, vimal, and welcome to the User BB!

    When you respond, please click on 'Go Advanced' below and attach a picture of the SSL VPN Profile open in edit mode.

    On the 'Advanced' tab, you should select the "Local X509 Cert" instead of the new cert you created.  This will eliminate sources of error during the debugging phase.

    Since you will need to download the configurations again, change to 'Protocol: UDP' on the 'Settings' tab to accelerate the tunnel and reduce latency.  If you haven't followed the Zeroeth Rule in Rulz and are not ready to make the recommended change, you will need to use the IP of "WAN (Address)" or a publicly-resolvable FQDN in 'Override hostname'.  Is there a reason that you changed the 'Interface Address' to "WAN (Address)" instead of "Any?" 

    Instead of using RADIUS, use Active Directory authentication.  This will simplify administration and will help to remove complexity and other sources of error.
    [LIST=1]In Active Directory, create a new Security Group "SSL VPN Users" and add in the desired users.
    • In WebAmin, at the bottom of the 'Advanced' tab of 'Definitions & Users >> Authentication Services', create a new Backend Group based on "SSL VPN Users" in the 'Groups' list, hit [Apply] and then [Prefetch now].
    • Now that the appropriate AD users have been added, you can either have them login to the User Portal or you can download the new setup package for each user from the 'Users' tab in 'Users & Groups' using a checkbox and the 'Actions' dropdown.
    • Run the setup.exe As Administrator on each client.
    [/LIST]
    Is that working for you?

    Cheers - Bob
Reply
  • 0 in reply to BAlfson
    Hi Bob,

    Thanks for your reply. Converting to AD instead of RADIUS worked but not sure why it didn't work with RADIUS though. Could be a bug you think??

    Cheers for your help
    Vimal[:)]

    Hi, vimal, and welcome to the User BB!

    When you respond, please click on 'Go Advanced' below and attach a picture of the SSL VPN Profile open in edit mode.

    On the 'Advanced' tab, you should select the "Local X509 Cert" instead of the new cert you created.  This will eliminate sources of error during the debugging phase.

    Since you will need to download the configurations again, change to 'Protocol: UDP' on the 'Settings' tab to accelerate the tunnel and reduce latency.  If you haven't followed the Zeroeth Rule in Rulz and are not ready to make the recommended change, you will need to use the IP of "WAN (Address)" or a publicly-resolvable FQDN in 'Override hostname'.  Is there a reason that you changed the 'Interface Address' to "WAN (Address)" instead of "Any?" 

    Instead of using RADIUS, use Active Directory authentication.  This will simplify administration and will help to remove complexity and other sources of error.
    [LIST=1]In Active Directory, create a new Security Group "SSL VPN Users" and add in the desired users.
    • In WebAmin, at the bottom of the 'Advanced' tab of 'Definitions & Users >> Authentication Services', create a new Backend Group based on "SSL VPN Users" in the 'Groups' list, hit [Apply] and then [Prefetch now].
    • Now that the appropriate AD users have been added, you can either have them login to the User Portal or you can download the new setup package for each user from the 'Users' tab in 'Users & Groups' using a checkbox and the 'Actions' dropdown.
    • Run the setup.exe As Administrator on each client.
    [/LIST]
    Is that working for you?

    Cheers - Bob
Children
No Data
Unfiltered HTML