Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 1 subscriber
  • Views 6147 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

v7.x L2TP VPN instability

Hansi
Senario:
Astaro v7.003 (and earlier v7.x)
Tested with a 220 appliance and a software version.
XP Sp2 L2TP client is used.

Setting up and making a connection doesn't cause any problem. This works just fine (since the wrong pool issue seems to be fixed in v7.003).
I can leave a ping on though the tunnel to internal hosts for hours and the connection still works fine. But as soon as I put some heavier load though the tunnel the traffic stops. The connection is still up according to both server and client. But all traffic through the tunnel is gone. I've looked at the live log to see if the server actually drops the traffic on purpose, but I can't see anything that will indicate that. I don't have any intrusion protection activated so it can't be such an issue either.

This is starting to get frustrating since I have a handful of clients with v6.x boxes out there that are waiting to be upgraded to v7.


This thread was automatically locked due to age.
Parents
  • 0
    Thanks for reporting this issue. I have reproduced this problem in our lab, and we are currently working on a solution.

    Stephan
  • 0 in reply to Stephan_Scholz
    Thank you for a quick response.

    Although, I'm quite puzzled that nobody seen this before and reported it. Doesn't anybody use the L2TP VPN function in Astaro? [;)]


    /Hansi
  • 0 in reply to Hansi
    Why should you use L2TP when you got SSL VPN for free??
  • 0 in reply to NimmdirKeks
    Why should you use L2TP when you got SSL VPN for free??


    XP comes with a L2TP client that can be used with Astaro. So if you already got a client machine with XP you could say that the VPN option is "free" too.

    And since the SSL option was introduced in v7.x you really didn't have any other good "free" VPN option in v6.x. So telling a client that if they want to upgrade to v7.x they also have to call in all field sales staff to change their VPN-client too. Alternatively make an instruction for the sales staff so they can reconfigure their laptops on their own. I hardly see this as a "free" option. There's a lot of time involved in such a change.

    Staying with L2TP on v7.x means no reconfiguration on the client side what so ever.

    /Hansi
Reply
  • 0 in reply to NimmdirKeks
    Why should you use L2TP when you got SSL VPN for free??


    XP comes with a L2TP client that can be used with Astaro. So if you already got a client machine with XP you could say that the VPN option is "free" too.

    And since the SSL option was introduced in v7.x you really didn't have any other good "free" VPN option in v6.x. So telling a client that if they want to upgrade to v7.x they also have to call in all field sales staff to change their VPN-client too. Alternatively make an instruction for the sales staff so they can reconfigure their laptops on their own. I hardly see this as a "free" option. There's a lot of time involved in such a change.

    Staying with L2TP on v7.x means no reconfiguration on the client side what so ever.

    /Hansi
Children
  • 0 in reply to Hansi
    XP comes with a L2TP client that can be used with Astaro. So if you already got a client machine with XP you could say that the VPN option is "free" too.

    And since the SSL option was introduced in v7.x you really didn't have any other good "free" VPN option in v6.x. So telling a client that if they want to upgrade to v7.x they also have to call in all field sales staff to change their VPN-client too. Alternatively make an instruction for the sales staff so they can reconfigure their laptops on their own. I hardly see this as a "free" option. There's a lot of time involved in such a change.

    Staying with L2TP on v7.x means no reconfiguration on the client side what so ever.

    /Hansi



    Correct me if I am wrong, but since L2TP uses UDP as its tunneling protocol combined with IPSEC, wouldn't this make it faster then SSL? Just a thought unless I am wrong.
  • 0 in reply to Blueeyed.1978
    No. 

    Most noticable difference between those 2 is that SSL uses AES wich is about 40% faster then 3DES.
  • 0 in reply to Hansi
    XP comes with a L2TP client that can be used with Astaro. So if you already got a client machine with XP you could say that the VPN option is "free" too.

    And since the SSL option was introduced in v7.x you really didn't have any other good "free" VPN option in v6.x. So telling a client that if they want to upgrade to v7.x they also have to call in all field sales staff to change their VPN-client too. Alternatively make an instruction for the sales staff so they can reconfigure their laptops on their own. I hardly see this as a "free" option. There's a lot of time involved in such a change.

    Staying with L2TP on v7.x means no reconfiguration on the client side what so ever.

    /Hansi

    The SSL VPN is easy to "roll out" using the END User Portal and as "NimmdirKeks" rightly says the SSL use AES Rinjael which is way faster on the DECRYPT algorithm and uses compression also, and is cross platform ...on Linux, MacOS X, BSD or Solaris ...as well as Windows, migrate users as the problems arise to get a phased transition ? (depend on users and how many I suppose)
  • 0 in reply to RufusToofus
    While I like the SSL VPN, the issue here is that he is having problems with the L2TP... it sounds like you have a regular license... if you have Gold Maintenance or better, I would suggest that a call to Astaro support is in order--they would likely be able to help you faster than someone on the board.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    While I like the SSL VPN, the issue here is that he is having problems with the L2TP... it sounds like you have a regular license... if you have Gold Maintenance or better, I would suggest that a call to Astaro support is in order--they would likely be able to help you faster than someone on the board.


    That is already taken care of. Astaro have identified the problem and it will be fixed.

    /Hansi
  • 0 in reply to Hansi
    The L2TP bug is fixed by now - we found that it was a problem in kernel 2.6.16. The fix will be released via the regular up2date process.

    Stephan
  • 0 in reply to Stephan_Scholz
    The L2TP bug is fixed by now - we found that it was a problem in kernel 2.6.16. The fix will be released via the regular up2date process.

    Stephan


    Stephan,

    Do you know if this fix is included in the new 7.004 patch released today? It didn't look like that when reading the information about it. But I'm asking just to be sure.

    /Hansi
  • 0 in reply to Hansi
    Hi Hansi, 

    no unfortunatly it is not in the 7.004 up2date, as there was no kernel included.
    We plan that for one of the next two upcoming up2date packages. 

    regards
    Gert
Cookie Information Banner