Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 6 replies
  • Subscribers 0 subscribers
  • Views 1268 views
  • Users 0 members are here
Options
Suggested

[7.380] Part of My Remote Access VPN Not Working

Bluewind
My Astaro Gateway runs my home LAN (a few PC's and a Windows Home Server). Been running a road warrior remote access with many Astaro versions and have always been able to connect to the Astaro gateway (192.168.2.100) via the VPN from a public IP address. Also was able to connect to my Home Server (192.168.2.133) and other IPs within the LAN from a remote IP. Everything works great running 7.305.

To test beta 7.380 I cloned my 7.305 hard drive. Once cloned I took the copy of the drive and upgraded it to 7.380 using the FTP server image. The upgrade looks just like my 7.305 system except for the new firmware. Everything works fine except for part of my VPN access which is strange.

I use a public IP address and connect to the public side of the Astaro. Got a new copy of the Windows client VPN software with my keys. Installed the client software on a Windows XP PC that worked previously as a VPN client. Connect to the Astaro using the Astaro Open VPN client. Connection works fine. From the public IP I can use a browser to talk to my WebAdmin console (2.100). This tells me that I am connected directly to my LAN.

Next I try to connect to my Home Server at 192.168.2.133. Doesn't respond to a ping. The only IP that responds to a ping is 192.168.2.100. 

THE PROBLEM: Why does my VPN work fine using 7.305 but when using the same configuration with 7.380 only can get connected to 192.168.2.100?

Thanks.
Parents
  • 0
    Sounds like the automatic packetfilter rules do not get applied correctly. Could you check the packetfilter log when you try to ping .133 and post suspicious looking output. Thanks!
  • 0 in reply to d12fk
    Thanks for the idea. I was blocking external pings and tracerts. The functionality between of pinging and tracert blocking between 7.305 and 7.380 might have changed since I could ping and tracert with 7.305 and using the same config with 7.380 I could not. So now I can ping and tracert to 192.168.2.133. Good news.

    The bad news is that I still cannot access HTTP or HTTPS services from 192.168.2.133 (my internal server with only external access via a VPN connection). Below is a few packet filter entries when I am connected to my Astaro via remote access VPN from external address 172.16.x.y. Connecting to 192.168.2.100 (the Astaro box) works fine.

    I am puzzled as to what rule is blocking VPN access to my internal server?

    10:06:57 Default DROP TCP 172.16.x.y : 9566 
     ? 192.168.2.133 : 445 
     [SYN] len=48 ttl=127 tos=0x00 srcmac=00:a0:cc:26:71:57 dstmac=00:00:00:00:00:00 
     
    10:06:59 Default DROP UDP 172.16.x.y : 137 
     ? 192.168.2.133 : 137 
     len=78 ttl=127 tos=0x00 srcmac=00:a0:cc:26:71:57 dstmac=00:00:00:00:00:00 

    Thanks.
  • 0 in reply to Bluewind
    Please check your routing table on the connecting Windows box, it has come to my attention that the routes to the local subnets do not get set on sometimes. So, fire up a cmd prompt after you are connected via VPN and type 'route print'. You should see the routes to the local subnets you defined on the ASG (at least one looking like "192.168.2.0 255.255.255.0").

    If the route is there use wireshark on .133 to check if any inbound traffic to port 80 or 443 appears. There should be some, at least the packetfilter log does not show anything HTTP related as blocked. Is 172.16.x.x/16 your SSL VPN Pool range? If it is there might be a problem with the automatic packetfilter rules, since SMB traffic seems to be blocked.
  • 0 in reply to d12fk
    Thanks for the ideas. The routing table on the Windows box was fine. They were identical when I connected to the production Astaro or the beta Astaro.

    Your post gave me an idea. Check the Packet Filter Table. I added a rule to allow the VPN Pool (SSL) to connect to the Internal Network. Once I did that I was able to connect to devices on the Astaro network using the VPN.

    Strangely this rule is not on the production Astaro which allows VPN to Astaro network just fine.

    Thanks again.
  • 0 in reply to Bluewind
    You probably used "automatic packetfilter rule" in production then.

    Barry
  • 0 in reply to Bluewind
    Strangely this rule is not on the production Astaro which allows VPN to Astaro network just fine.


    This is caused by a bug in the beta. The rules do not get applied when you enable "Automatic packet filter rules" for SSL Remote Access. In 7.30x this works. That's why you do not have to add packet filter rules manually there. The bug will be fixed in the final 7.400.

    Thanks for the report.
Reply
  • 0 in reply to Bluewind
    Strangely this rule is not on the production Astaro which allows VPN to Astaro network just fine.


    This is caused by a bug in the beta. The rules do not get applied when you enable "Automatic packet filter rules" for SSL Remote Access. In 7.30x this works. That's why you do not have to add packet filter rules manually there. The bug will be fixed in the final 7.400.

    Thanks for the report.
Children
No Data