[9.080][BUG] SSLVPN stops working

home (v9.090)
tun0:  mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    inet 10.242.2.38 peer 10.242.2.37/32 scope global tun0

office (v9.006)
tun0:  mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    inet 10.242.2.1 peer 10.242.2.2/32 scope global tun0

Firewalllog:
15:44:54 Default DROP TCP 10.242.2.38:46153 → 10.2.120.245:22 [SYN] len=60 ttl=62 tos=0x00 srcmac=0:1a:8c:32:ea:48

15:44:54 Default DROP TCP 10.242.2.38:46153 → 10.2.120.245:22 [SYN] len=60 ttl=62 tos=0x00 srcmac=0:1a:8c:32:ea:48

I think there's your problem. The packets you send through your home UTM seem to get SNATed to the virtual pool IP adress the client has assigned (I assume you did not specify the SSL VPN pool network as a remote network for the site-to-site connection).

While it could be other things causing this, I'd like to ask you to check your Masquerading settings on your home UTM first. If you know how to, you could also run tcpdump on tun0 on the office UTM to check that the SSH packets go through openvpn. You should see 10.242.2.38 → 10.2.120.245:22 there, where in fact it should be something like HOME_CLIENT_IP → 10.2.120.245:22.

15:44:54 Default DROP TCP 10.242.2.38:46153 → 10.2.120.245:22 [SYN] len=60 ttl=62 tos=0x00 srcmac=0:1a:8c:32:ea:48

I think there's your problem. The packets you send through your home UTM seem to get SNATed to the virtual pool IP adress the client has assigned (I assume you did not specify the SSL VPN pool network as a remote network for the site-to-site connection).

While it could be other things causing this, I'd like to ask you to check your Masquerading settings on your home UTM first. If you know how to, you could also run tcpdump on tun0 on the office UTM to check that the SSH packets go through openvpn. You should see 10.242.2.38 → 10.2.120.245:22 there, where in fact it should be something like HOME_CLIENT_IP → 10.2.120.245:22.

Hi,

yes i see 10.242.2.38 → 10.2.120.245:22 with tcpdump -n -i tun0 on the home side and office side.
But i have no nat rule for that.



gate:/home/login # iptables -n -t nat --list 
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
AUTO_PRE   all  --  0.0.0.0/0            0.0.0.0/0           
USR_PRE    all  --  0.0.0.0/0            0.0.0.0/0           
LOAD_BALANCING  all  --  0.0.0.0/0            0.0.0.0/0           

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
AUTO_OUTPUT  all  --  0.0.0.0/0            0.0.0.0/0           
USR_OUTPUT  all  --  0.0.0.0/0            0.0.0.0/0           

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
AUTO_POST  all  --  0.0.0.0/0            0.0.0.0/0           
USR_POST   all  --  0.0.0.0/0            0.0.0.0/0           

Chain AUTO_OUTPUT (1 references)
target     prot opt source               destination         

Chain AUTO_POST (1 references)
target     prot opt source               destination         

Chain AUTO_PRE (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp spts:1024:65535 dpt:4444 ADDRTYPE match dst-type LOCAL

Chain LOAD_BALANCING (1 references)
target     prot opt source               destination         

Chain USR_OUTPUT (1 references)
target     prot opt source               destination         

Chain USR_POST (1 references)
target     prot opt source               destination         
MASQUERADE  all  --  192.168.23.0/24      0.0.0.0/0            policy match dir out pol none

Chain USR_PRE (1 references)
target     prot opt source               destination         
gate:/home/login #

--Johannes