Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1279 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ssh Sentinel stopsWeb Admin

Rayzor
I have configured successfully the IPSEC roadwarrior host to net using dynamic IP address, x509ca and using SSH Sentinal client. Tunnel seems to work fine. I am using 3DES. but as soon as I establish the VPN tunnel I am unable to connect to the Web admin. Even when I have disconnected the tunnel I am still unable to access WebAdmin. I can however connect through another machine, restart firewall, and then I am able to access WebAdmin once again. I tested this using the command prompt and pinging the firewall with the -t and watch as I connect using the SSH sentinel the pings go from reply to request timed out once the vpn connection is established. It will continue to time out until I go to another machine, connect to the WebAdmin issue the restart command, and after the firewall reboots the pings go automatically from request timed out, back to succesful replies. I can then once again connect as usual to WebAdmin.
I have read posts....but cannot find anything on this subject....I am probably just missing something very basic....any thoughts will be appreciated...

Rayzor


This thread was automatically locked due to age.
Parents
  • 0
    hmm.. I to have a dynamic ASL, X509 Roadwarrior, and SSH Sentinel.

    I cant seem to duplicate your problem.  Works for me.  I am connecting to the webadmin on the internal interface over the tunnel.
  • 0 in reply to Tmor
    Check your routing tables (route print at a dos prompt on PCs) before and after the tunnel is built. You might be trying to connect from inside after building the tunnel. If thats the case just give yourself permission from the new network.
    Routing tables tend to stick around long after the tunnel is gone and the connection destroyed, both on your PC and on your astaro box as far as I can see, thats why (or one of the reasons why) rebooting is often the only way forward.
Reply
  • 0 in reply to Tmor
    Check your routing tables (route print at a dos prompt on PCs) before and after the tunnel is built. You might be trying to connect from inside after building the tunnel. If thats the case just give yourself permission from the new network.
    Routing tables tend to stick around long after the tunnel is gone and the connection destroyed, both on your PC and on your astaro box as far as I can see, thats why (or one of the reasons why) rebooting is often the only way forward.
Children
  • 0 in reply to alanhunter
    The problem is that one way gets encrypted and the other one not.

    Sentinel sends the request to ASL unencrypted.
    When ASL replies he takes a look at the routing table and sees that all traffic to the sentinel should be encrypted and encrypts it.

    Try to access the Webadmin in the internal IP Adress, than the sentinel sends the request encrypted and everything should be fine.

    Kind regards
    Gert
  • 0 in reply to Gert Hansen
    Thank you for all your input......with the help of a very knowledable colleague we came up with this

    Try to access the Webadmin in the internal IP Adress, than the sentinel sends the request encrypted and everything should be fine.

    Kind regards
    Gert 

    Gert: this does solve the problem while I am connected but does not solve the problem once I am disconnected.....So as alanhunter mentioned, I checked the routing tables on the Astaro firewall before and after they look like this

    while connected and after connection terminates it keeps this route

    Kernel IP routing table

    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    24.77.209.124   64.114.52.129   255.255.255.255 UGH   0      0        0 ipsec0

    (didn't really copy and paste like I wanted but I think you get the picture)

    If I stop and restart the ipsec (from another machine)the route disappears and then I am able to connect once again from the 24.77.209.124 machine.....As an Employee I need to access resources behind the firewall and as an administrator I need to have access to the firewall from the External side.....the obvious workaround is just to use pptp which I do not have a problem with but I am just posting this to let the Astaro administrators aware of this.

     Should the route not be deleted once the connection terminates???

    Is there a way to tell the box to do this???

    Am I the only one to create this problem???

    once again thanks for the input

    Rayzor