Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 4 replies
  • Subscribers 0 subscribers
  • Views 1658 views
  • Users 0 members are here
Options
Suggested

SSH session over PPTP locks

waz664
Hello All,

I am having a very strange issue.  I have the Essential Firewall edition installed running off a Clear WiMax internet connection with a test environment behind it.  I have it configured for PPTP VPN access to connect to and administer the Linux servers behind the firewall.  All the servers have full internet access outbound and I can establish the PPTP connection without an issue.  Once connected I can ping all the servers and can establish a SSH session.  However, if I try to run a command like "top" or "yum search" the ssh session locks and I cannot get control.  Running commands like "uptime" or "ls" work fine.  If I use the same machine and connect behind the firewall, the SSH session operates normally.

The only thing I can think that might be the issue is a double NAT.  Since the WiMax connection only presents a 192.168.x.x network on the ethernet port and internally NATs that to the public IP.  The, the firewall also runs NAT from the internal to the external interface.

Here is an example

[Internet] -> Public(1.1.1.1) -> [WiMax] -> Private(192.168.1.1) -> Private(192.168.1.2) -> [Astaro] -> Private[192.168.2.1] -> [Internal Network] 

The WiMax modem is passing ALL traffic off the internet to the Astaro external interface (192.168.1.2) where it is handled by the firewall.  Then Astaro is using 192.168.1.1 as it's external GW.

It's very odd since things are working fine except for this strange issue with the SSH connection.  Any thoughts would be appreciated.

Cheers!
Parents
  • 0

    The only thing I can think that might be the issue is a double NAT.  Since the WiMax connection only presents a 192.168.x.x network on the ethernet port and internally NATs that to the public IP.  The, the firewall also runs NAT from the internal to the external interface.


    What is the subnet mask of the WiMax ip range, since you describe it as 192.168.X.X - you might have configured you internal nat masq in a range known on the ouside in the WiMax box.  You might want to configure internal subnet to something different like 10.10.1.X just to test the double NAT.

    Otherwise I see two ways to do this. Call your ISP and ask them to set the WiMax box to transparent mode which would allow you to get a true external IP on the wan interface of your Astaro or setup the the Astaro in a transparent way that allows you to filter packages still - that however would / could cause trouble for the PPTP since the Astaro is now transparent as discussed here : http://www.astaro.org/astaro-gateway-products/network-security-firewall-nat-qos-ips-more/7306-transparent-firewall.html

    One last thing... I would use L2TP/IPsec insted of PPTP for this purpose. The PPTP is fine for many things but the protocol is fragile to the network topology and often cause trouble in scenarios like this where its unclear to you if its actually the PPTP or the NAT Masq thats the main issue.

    Just my 10 cents..
    Personally I would demand the WiMax to be transparent / in bridge mode.
Reply
  • 0

    The only thing I can think that might be the issue is a double NAT.  Since the WiMax connection only presents a 192.168.x.x network on the ethernet port and internally NATs that to the public IP.  The, the firewall also runs NAT from the internal to the external interface.


    What is the subnet mask of the WiMax ip range, since you describe it as 192.168.X.X - you might have configured you internal nat masq in a range known on the ouside in the WiMax box.  You might want to configure internal subnet to something different like 10.10.1.X just to test the double NAT.

    Otherwise I see two ways to do this. Call your ISP and ask them to set the WiMax box to transparent mode which would allow you to get a true external IP on the wan interface of your Astaro or setup the the Astaro in a transparent way that allows you to filter packages still - that however would / could cause trouble for the PPTP since the Astaro is now transparent as discussed here : http://www.astaro.org/astaro-gateway-products/network-security-firewall-nat-qos-ips-more/7306-transparent-firewall.html

    One last thing... I would use L2TP/IPsec insted of PPTP for this purpose. The PPTP is fine for many things but the protocol is fragile to the network topology and often cause trouble in scenarios like this where its unclear to you if its actually the PPTP or the NAT Masq thats the main issue.

    Just my 10 cents..
    Personally I would demand the WiMax to be transparent / in bridge mode.
Children
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?