Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1512 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Outlook Webaccess from VPN

Reini
Hi,

i want to access outlook webaccess (or any other site on my IIS) from a client connected via vpn.
in my local network this is no problem.
but when i want to access the site via vpn i get http error message that says, the connection was reseted.

in the packet filter live log i see messages like this every time i try to access the site: 
16:11:18 	Default DROP 	TCP 	

192.168.1.254 	: 	4653

	→ 	

192.168.1.100 	: 	80

	

[SYN] 	len=48 	ttl=127 	tos=0x00 	srcmac=00:00:00:00:00:00 	dstmac=00:0c:29:0e:77:cc


I tried to create a rule to avoid the drop of this packets:
Source: VPN (also tried "any")
Sercice: HTTP
Destination: Internal Network (also tried my server "sbs" and "any")

but after creating and activating the rule i still get the "default drop" messages.

also i created a rule for testing:
source: any
service: any
destination: any
and activated the logging. i expected to see all packets of my network in the live log. but i didn't. so i deactivated the rule.

what am i doing wrong?
what else cout influence the blocking of my traffic?

thanks!


This thread was automatically locked due to age.
Parents
  • 0
    Reini:

    You should not need to add any packet filter rules if you've got the VPN working (the VPN bypasses them).  And you're sure you don't need to get at your OWA /w https?

    Anyway, are you using the included Astaro SSL VPN client?  If so implement the fixes shown below in the client config file (.ovpn).

    route-method exe
    route-delay 20
    route-up "ipconfig -registerdns"

    You might also think about changing the metric values in your LAN connection settings to force the use of the VPN route prior to your regular route.

    And you might want to download the latest VPN SSL client from OpenVPN.net (currently 2.16RC) and use it instead of the Astaro included version.
Reply
  • 0
    Reini:

    You should not need to add any packet filter rules if you've got the VPN working (the VPN bypasses them).  And you're sure you don't need to get at your OWA /w https?

    Anyway, are you using the included Astaro SSL VPN client?  If so implement the fixes shown below in the client config file (.ovpn).

    route-method exe
    route-delay 20
    route-up "ipconfig -registerdns"

    You might also think about changing the metric values in your LAN connection settings to force the use of the VPN route prior to your regular route.

    And you might want to download the latest VPN SSL client from OpenVPN.net (currently 2.16RC) and use it instead of the Astaro included version.
Children
  • 0 in reply to eganders_01
    You should not need to add any packet filter rules if you've got the VPN working (the VPN bypasses them).

    That was what i thought first, too. But as it didn't work i got to my packet filter theory...
    I removed my Filters and now i don't see the default drop entries anymore. i think this is fine?

    And you're sure you don't need to get at your OWA /w https?

    I'm not sure if i got this question right. Are you asking me, if i need to put https:// instead of http:// in my adress line? I don't think so. From a local client the http:// adress works fine.

    Anyway, are you using the included Astaro SSL VPN client?  If so implement the fixes shown below in the client config file (.ovpn).

    route-method exe
    route-delay 20
    route-up "ipconfig -registerdns"

    Yes i'm using the included astator client.
    When i put your fixes to the end of my .ovpn file the client says the connection is established but i can't ping my server anymore. (not by IP and not by dns-name)

    Without your fixes this works perfectly.
    Also i can use services like Remote Desktop and Windows File Sharing. HTTP seems the only service that doesen't work through VPN.

    You might also think about changing the metric values in your LAN connection settings to force the use of the VPN route prior to your regular route.

    Can you explain this to me or give me a screenshot? I'm not sure how to do this

    And you might want to download the latest VPN SSL client from OpenVPN.net (currently 2.16RC) and use it instead of the Astaro included version.


    Using the latest OpenVPN client gets me to same results as with the astaro client. (i tried it with and without your fixes)

    By the way:
    I scanned the IP of my server (192.168.100.1) for open port 80 with the tool from angryziber.com
    It says Ping is ok, port 80 is open and hostname is sbs.sys4u.local
    I can't understand why i can't access the websites on iis. The windowsfirewall of the server is turned off.
  • 0 in reply to Reini
    And you're sure you don't need to get at your OWA /w https?
    I'm not sure if i got this question right. Are you asking me, if i need to put https:// instead of http:// in my adress line? I don't think so. From a local client the http:// adress works fine.

    The advantage of https is that your emails aren't sent in clear text over the public Internet.

    Yes i'm using the included astator client.
    When i put your fixes to the end of my .ovpn file the client says the connection is established but i can't ping my server anymore. (not by IP and not by dns-name)

    Search here on route-delay to see an example of an ovpn file that should work for you. Of course, if it's working without these additions, then you are one of the fortunate ones!

    You might also think about changing the metric values in your LAN connection settings to force the use of the VPN route prior to your regular route. 

    Eric, I think traffic in the VPN is always routed before any explicitly created routes in 'Network >> Routing'.

    Can you access IIS directly from inside the network?

    Cheers - Bob
  • 0 in reply to BAlfson
    The advantage of https is that your emails aren't sent in clear text over the public Internet.
    Ehm yes sure.
    But at the moment i'm just testing.
    For a productive environment i would switch to https of course

    Search here on route-delay to see an example of an ovpn file that should work for you. Of course, if it's working without these additions, then you are one of the fortunate ones!
    Hmm in principle it works without any fix. How i said before: i can use RemoteDesktop and Windows File Sharing with the server which is on the internal port of my astaro. Also ping is working and i can access my Active Directory with adexplorer from sysinternals.com. For me that indicates that the VPN in principle works fine. or doesen't it?
    Only http isn't working

    Can you access IIS directly from inside the network?
    Yes - this works without any problems

    -------------------

    [SIZE=6]I got it working! -.-[/SIZE]
    Nothing with the astaro
    Nothing with vpn
    Just a stupid IIS configuration.
    By default the Defaultwebsite of iis seems not to be assigned to a specific ip.
    For testing i assigned the local ip and port 666
    This worked fine
    So i assigned port 80.
    It worked
    -.-

    Sorry...
  • 0 in reply to Reini
    Good job!

    What is your school?
  • 0 in reply to BAlfson
    Ehm i don't know how familiar you are to the german system of apprenticeship.
    You have a contract with a company for about 3 years.
    They have to teach you everything you need to know in a specific job.
    Some of the time you are in school. In my case its 1.5 Days a week.

    The Name ob the job we are learning is "information scientist for system integration".
    We are now in year 2 and doing this project as exercise for the official project at the end of year 3 

    [:)]
  • 0 in reply to Reini
    In fact, I lived in Berlin for a year when I worked for IBM Deutschland where I met young people doing eine Lehre.  Then, I moved to IBM France near Paris where I also learned a bit about the French system of apprentissage.

    There are some aspects that would be very good in the USA.  In France, for example, I think 15 years old is too young to select the "professionel" or "technologique" path for most every male.  But, this discussion would become very political, so it's not for the Astaro User BB!

    I wish you much success - Bob