Missing default GW - SSL VPN for WLAN access

I'm just guessing here, since I haven't played much with the VPN yet.  Have you tried setting a MASQ rule of VPN Pool (SSL) --> Internal network?  That should allow your VPN clients to do anything that an internal client would be able to do if I understand it correctly.

I'm just guessing here, since I haven't played much with the VPN yet.  Have you tried setting a MASQ rule of VPN Pool (SSL) --> Internal network?  That should allow your VPN clients to do anything that an internal client would be able to do if I understand it correctly.

Hello Scott,

i configured the masquerading like you said, but i'm still not able to go to the internet.

Any other suggestions?

thanks

Oliver

Miami,

Do you have Packet filter rules to allow that direction (WAN)?
What is the DNS adress for the WLAN users, and your LAN users (your firewall?)
What are the settings of your AP? can you ping a dns address on the internet from your AP?
What are the rules (packet filter) for internal lan/ WLAN users

i configured the masquerading like you said, but i'm still not able to go to the internet.

You need to create a rule masquerading the VPN pool address range behind the WAN interface, in order for a VPN connected client to be able to access the Internet.

Sorry, my mistake on the masq rule.  I wasn't thinking.  I'm in bridged transparent mode, so my masq rule is a bit different than a standard config with WAN and LAN.

Hello Scott,

i played a little bit with the config and found out, that i had to put the 'Any' -net to the SSL-local-networks config. (how stupid can i be, that i haven' t seen this point) [:$] 

When i connect with the SSL-Client the routes are defined and the default GW is now pointing to the firewall in the SSL-Pool-subnet.

for about 10 sec. i can ping some internet sites and reach the local net as wanted. after that i can't reach anything until i reconnect the SLL-Client(the Client still shows that it's connected).
I can repeat this as often as i want.

i found an 1002 event from DHCP in the event-log that sais something like this:

IP-Adresslease 'IP in the .160.99'-net for networkcard with Adress AABBCCDDEE(MAC of the Astaro-SSL-Client) was refused by the DHCP Server 'IP of the DHCP-Server for the internal network' (DHCP sent DHCPNACK).

Why is the internal DHCP-Server responding, and not the ASG-DHCP?

the masquerading rule is now:
SSL-VPN-Pool -> Internal

should i change it to:
SSL-VPN-Pool -> external

Can the strange behaviour occur cause of the masq rule i used?

to silverone:

>Do you have Packet filter rules to allow that direction (WAN)?

no i use the Automatic Packet filter option

>What is the DNS adress for the WLAN users, and your LAN users (your firewall?)

the DNS adresses are pointing to my internal DNS server (not the ASG)
so that i can resolve the other WAN-adresses in our network

>What are the settings of your AP? can you ping a dns address on the internet from your AP?

The IP of the AP is the .160.253 in the unsecured net. as wanted i cannot reach any net from the AP.

>What are the rules (packet filter) for internal lan/ WLAN users

the WLAN Users should only be able to connect the internal-net & internet through the SSL-Client


Thanks for help and sorry for all the questions

Oliver

>should i change it to:MASQ

SSL-VPN-Pool -> external  YESS

>Do you have Packet filter rules to allow that direction (WAN)?

you can try; VPN-Pool -> ANY -> ANY, and narrow it down.....