Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1510 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help using logs - troubleshoot VPNclient problems

Kjetil
Hi.

I've set up Astaro 8.3 at home to get a real firewall, but need some help finding my way around the logs. At work I've managed Stonegate and Firewall-1 and am used to their log readers, but have serious problems finding my way around Astaro's logs.

Specifically - I would like to be able to see _all_ traffic going to and from a particular host in a single view and then optionally be able to filter the list. 

Can this be done in the admin UI?

Share and enjoy
/Kjetil


This thread was automatically locked due to age.
  • 0
    You can use tcpdump like that, but it sounds like you'd be happier loading WireShark on your PC.

    Which Remote Access method?  Which VPN client?  If this is L2TP over IPsec using the standard Windows client, you can start the IPsec Live Log and then watch it as you attempt a connection.  Once the connection is made, you will lose your connection to WebAdmin and the Live Log.

    Cheers - Bob
  • 0 in reply to BAlfson
    The VPN client is the Firewall-1 client
  • 0
    Is that IPsec?  Is this like the Cisco client or a pure IPsec client or are you talking about a site-to-site between a CheckPoint and the ASG?

    Cheers - Bob
  • 0 in reply to Kjetil
    But that does not help much as long as I can't see how the firewall reacts to the traffic. tcpdump or Wireshark will show me what the PC sends, but not what the firewall reacts to and in what way.

    Or am I expecting too much? The Checkpoint Smartview Tracker will show you the connections initiated from a client and which firewall rules they hit. If I can't do that, troubleshooting connection problems will be hit and miss and you will end up with rules too wide ....
  • 0 in reply to Kjetil
    It is a client installed on a PC residing on the inside of my ntwork. I'm not sure how it works, I was hoping the log could give me a hint. 

    What's strange is I have no custom rules yet, from what i see of the rule base everything on the inside should be allowed to go out, unless there's a "show hidden rules" checkbox that I've missed....
  • 0
    I think I still don't understand the problem.  Is this a PC in your LAN at home that is protected by the Astaro?  Are you trying to connect to an Astaro Remote Access method?

    If this is a PC inside your LAN, and you are attempting to connect to a VPN server outside the Astaro, search the Firewall log for the public IP to which you're trying to connect.  If you find nothing in the Firewall log, try the same search on the Intrusion Prevention log.  The default behavior is to block everything.  If you don't have a rule like 'Internal (Network) -> IPsec -> Internet : Allow', then IPsec packets will not be allowed to pass.

    Cheers - Bob
  • 0
    Brilliant, thank you. 

    The ipsec rule didn't help in itself, but I found something like the log viewer I missed in the "Open live log" button on the rules page - it shows all the traffic, not only the dropped packets you see under Logging and Reporting -> View log files -> Firewall -> Live log.

    I'm glad to have found it, but I can't say I'm impressed - in my opinion a possibilty for improvement of the UI.

    BTW: The Firewall-1 Secureclient is not a standard ipsec client, there are all kinds of stuff going on - there seems to be handshakes going all over the place....