Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 7138 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN – Internal Web Page cannot be displayed

Idriel
VPN – Internal Web Page cannot be displayed

Strange issue with PPTP VPN users and two internal web pages on same server. 
Issue occurs only at some users, all other internal pages work normal through VPN. 

Web proxy is in transparent mode but we put all internal rages to Skip Transparent Mode Destionations. 
Internal Web Page (when working over TMG)  opens very slow, is there any TCP Timeout error or something like that?


This thread was automatically locked due to age.
  • 0
    Client connected to UTM over PPTP does not want to Negotiate or send NTLM or Kerberos. : (
    Behind TMG it work normal.
  • 0
    Strange issue is that I have 
    Is problem here somewhere?
    Filter: tcp.steam eq 13
    Second 6: SrcIP -> DstIP      [TCP Window update] 52388->89 [ACK] Seq=857 Ack=7381 Win=4276 Len=0

    Next packet in that stream
    Second 24: SrcIP -> DstIP    52388-> [RST, ACK] Seq=1393 Ack=7381 Win=0 Len=0
  • 0
    Does anybody knows what is different between TMG PPTP and Sophos PPTP?

    I am asking this because on TMG internal Web page that require authentication (Kerberos, NTLM, Basic available for Negotiation) works while same Webpage over Sophos does not work. 

    Note: this is not the issue on all computer, this are individually issues.

    On other PCs and mine Virtual PC everything is working normal. 

    For now, we try to Repair IE with Microsoft Fix IT that resets IE, Clean Cache, … we also try to reset Network stack “netsh int ip reset” and “winsock reset”. Still, no luck. On TMG everything works fine, over UTM, Client does not want to send Negoatiation. 

    Proxy is in transparent mode and ALL internal networks are placed on Skip Transparent mode Destinations.

    We also tested adding sites to Local Intranet Zone and Trusted site. We can confirm that options for SSO are enabled at Advanced TAB and Security Zone TAB. 
    Communication between client and server is working, because if you set Anonymous Allowed on IIS server then we get web page. 

    From tcpdump we can see that Client create GET request, and response from server “authorization required, Negotiate…” but client never sends Negotiation back? And after 18sec there will be RST, ACK. 

    Does anyone have some clue, what might be an issue on PC? What is difference while PC in on Sophos PPTP and not on TMG?
  • 0
    For those users that fail to access the web server, do they also fail if they attempt to access the web server when making the pptp connection as one of the users that are successful? Basically trying to prove if this is a computer issue or if it is related to the user logon.
  • 0
    Besides the good questions posed by Longman...
    we put all internal rages to Skip Transparent Mode Destionations
    Just to clarify, you are using the default VPN Pool (PPTP) network range, which is different from your internal subnet, correct?  You haven't set the VPN pool to run through the web filtering proxy, have you?
    Does anybody knows what is different between TMG PPTP and Sophos PPTP
    Well, they should both adhere to RFC 2637.  I know that UTM does, you'd have to contact MS about TMG.
  • 0 in reply to Longman
    For those users that fail to access the web server, do they also fail if they attempt to access the web server when making the pptp connection as one of the users that are successful? Basically trying to prove if this is a computer issue or if it is related to the user logon.

    Yes, I'll say that it's computer issue because same user antoher computer everything is working fine. 

    Same computer, same user profile, different VPN user still does not work. 
    Didn’t try to create new user profile because it’s working behind TMG. 

    Just to clarify, you are using the default VPN Pool (PPTP) network range, which is different from your internal subnet, correct? You haven't set the VPN pool to run through the web filtering proxy, have you? 

    VPN uses custom pool and it’s different from any internal range. 
    I have Profile on Web Protection for VPN Users that have rule BLOCK ALL : ) but as sites are in Skip Transparent Mode Destination and working fine on X computers don’t see why wouldn’t work on this one.  On Firewall rule for this testing purposes I create rule VPN POOL -> Service ANY -> Allow ALL INTERNAL VLANs.
  • 0
    If the "VPN Pool (PPTP)" is not allowed Internet access, but should bypass the Proxy for all internal LANs, there is no reason to include "VPN Pool (PPTP)" in 'Allowed networks' for Web Filtering.  Delete it from there and just use a Firewall rule like 'VPN Pool (PPTP) -> Web Surfing -> {LAN subnets} : Allow'.

    Cheers - Bob
  • 0
    Hi,

    Still strange issue with that PC. 
    I turn off VPN Pool from Web filtering, and now everything is operated at firewall (also, looks nicer for log searching).

    Now, I see on client with “klist” that client get’s ticket. 

    From Wireshark I also see client TGS REQ for ticket. This part looks good, but client does 
    not reply that ticket for Negotiation and then I get “Page cannot be displayed”? again all test on other PC’s working good, and over TMG.
  • 0 in reply to Idriel
    On Client I sow that Negoatiation packet left browser in Feedler, but without response from server.

    HTTP/1.1 504 Fiddler - Receive Failure
    Date: Mon, 11 May 2015 15:35:37 GMT
    Content-Type: text/html; charset=UTF-8
    Connection: close
    Cache-Control: no-cache, must-revalidate
    Timestamp: 17:35:37.876

    [Fiddler] ReadResponse() failed: The server did not return a complete response for this request. Server returned 0 bytes.
  • 0
    While using Transparent proxy to Internal pages everything is working fine. 

    I'll go to this workaround and Exceptions.