Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 2928 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

What is going on?

chrisd_01
Hi All,

I have one that is just beyond any explanation for me. Scenario.

Remote Users - PPTP - UTM 9.313-3 - Internal Network 

Remote Users who log in via VPN are able to ping all hosts behind the router expect just one! In the firewall logs I see only default drop fw rule 6002 for this host. Nothing in ATP or IPS....

When all security disabled, UTM still drops packets to this one specific host! This happens  only if I use pptp, ie. Ipsec traffic to this host is not blocked.

Yes, the host has got correct gateway!

Obviously I did check all the rules and I am not able to trace anything. Any ideas please?

Thanks


This thread was automatically locked due to age.
  • 0
    Do you have any Masquerading or NAT rules in place for this host?
  • 0 in reply to TCF
    No, the only Masq rules I have are:

    Internal Network -> External
    PPTP Users  -> External
  • 0
    Is the one client pinging by FQDN or IP?  If by FQDN, have them try by IP.  If it works, it would indicate a DNS issue.  

    Does the network that the client is on have the same addressing as the network it is trying to connect to behind the UTM?  This would cause routing problems if they are.

    Use TCPDump at the UTM shell to see if the traffic is passing.  If it is, then it might indicate an issue with a host based firewall on the system the client is trying to connect to.  If it isn't, it could indicate the same sort of issue on the client side.
  • 0
    You say the packet is dropped.  Do you really see a "drop" in one of the logs?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi all,

    thank you for the above. In response.

    Is the one client pinging by FQDN or IP? If by FQDN, have them try by IP. If it works, it would indicate a DNS issue. 


    IP, but not only ping/icmp is blocked, general access to all ports is blocked by firewall (ports 80, 135, 445) etc.

    Does the network that the client is on have the same addressing as the network it is trying to connect to behind the UTM? This would cause routing problems if they are.


    It is host on the same IP class as the PPTP client, router and rest of the network. The PPTP clients recieve IP from DHCP server on the network. 

    To make it clearer.

    1. PPTP (192.168.122.65) -> UTM (192.168.122.1) -> host blocked by firewall (192.168.122.235)
    2. PPTP (192.168.122.65) -> UTM (192.168.122.1) -> example host allowed by firewall (192.168.122.14)
    3. 2. PPTP (192.168.122.65) -> UTM (192.168.122.1) -> example host allowed by firewall (192.168.122.15)

    etc

    You say the packet is dropped. Do you really see a "drop" in one of the logs?


    Yes, when reading the logs I can see that firewall is doping the packet using FW RULE 6002 which as far I understand is just "default drop policy" with no indication why it is being dropped....
    When I check IPS or AP logs there is nothing there, they are basically empty.....

    Thanks
    Chris
  • 0
    This can't work. You cause a huge routing issue if the PPTP Clients use the same network as the internel network.
    You will have to split, e.g. use the inbuilt PPTP Pool for your PPTP clients.

    Also have a look at BAlfson's Rulz to see, if you violate e.g. #3.

    Side note: PPTP is considered insecure, as it has been cracked several years ago. I recommend to use SSL VPN instead.