W ostatnich dniach zgłosił się do nas jeden z użytkowników. Użytkownik nie mógł połączyć się z serwerem VPN przez aplikację OpenVPN.
Przy próbie łączenia, dostawał prośbę o wpisanie loginu i hasła. Po wpisaniu poprawnych danych OpenVPN nie mógł się połączyć.
Problem występuje kiedy OpenVPN client próbuje zestawić sesję TLS:
Thu Jun 06 07:30:51 2013 us=860919 MANAGEMENT: >STATE:1370496651,WAIT,,,
Dla przypomnienia, port ustawiony dla OpenVPN klienta na naszych serwerach VPN to TCP 993 ( domyślnie jest to port przydzielony dla protokołu IMAP SSL )
Użytkownik poinformował nas ,że nie ma problemu z łączeniem się przez protokół PPTP i SSTP ze swojego komputera.
Problem występuje tylko przy połączeniu przez OpenVPN klienta. Dodatkowo użytkownik korzystał już wcześniej z tego klienta i nigdy nie miał problemu z połączeniem do innych serwerów VPN.
Poprosiliśmy użytkownika aby połączył się z innego komputera, w między czasie wykluczyliśmy problem z routerem i zablokowanymi portami. Z innego komputera udało się połączyć co oznaczało ,że problem był lokalnie na komputerze.
Rozwiązanie:
Problemem okazał się antywirus Avast, który blokował połączenie do naszych serwerów VPN.
Zrobiliśmy kilka testów i okazało się, że moduł „ Osłona poczty” blokuje połączenia przez OpenVPN klienta, prawdopodobnie dlatego, że ruch odbywa się po porcie TCP 993 ( IMAP SSL )
Po odznaczeniu opcji „skanowanie SSL” nie było problemu z połączeniem się przez OpenVPN klienta do naszych serwerów.,
(Można również odznaczyć „ Skanuj pocztę przychodzącą „ POP3,IMAP4 co daje ten sam efekt.)
Nie jest to idealne rozwiązanie problemu ale tzw. workaround.
Problem mamy wtedy gdy na komputerze odbieramy pocztę po IMAP SSL i chcemy korzystać z OpenVPN, a poczta przychodząca ma być skanowana.
W tym przypadku należało by zmienić antywirusa np na nod32 czy Gdata, z którymi nie ma takiego problemu.