Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 8345 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ssl vpn connects but cannot go anywhere

William Warren
I can connect to to a client's machine but i cannot ping/tracert/rdp..anything.  Routes appear fine and nothing has changed except adding 7.102.  I am restarting the machine again but i don't think that's going to fix it.  Any ideas at all or places to look?

Nothing shows up in the packet filter log and i shut off the ips in case it was the problem.  I have tried moving the ssl port to 10k among others to no avail.

here's the route on my end when connected to the vpn.

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.255.1  192.168.255.50       20
       10.242.2.1  255.255.255.255       10.242.2.5      10.242.2.6       1
       10.242.2.4  255.255.255.252       10.242.2.6      10.242.2.6       30
       10.242.2.6  255.255.255.255        127.0.0.1       127.0.0.1       30
   10.255.255.255  255.255.255.255       10.242.2.6      10.242.2.6       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      169.254.0.0      255.255.0.0   192.168.255.50  192.168.255.50       30
     192.168.21.0    255.255.255.0       10.242.2.5      10.242.2.6       1
    192.168.255.0    255.255.255.0   192.168.255.50  192.168.255.50       20
   192.168.255.50  255.255.255.255        127.0.0.1       127.0.0.1       20
  192.168.255.255  255.255.255.255   192.168.255.50  192.168.255.50       20
        224.0.0.0        240.0.0.0       10.242.2.6      10.242.2.6       30
        224.0.0.0        240.0.0.0   192.168.255.50  192.168.255.50       20
  255.255.255.255  255.255.255.255       10.242.2.6      10.242.2.6       1
  255.255.255.255  255.255.255.255   192.168.255.50  192.168.255.50       1
Default Gateway:     192.168.255.1

I can hook up to another client's ssl vpn that run ipcop so i doubt it's on my end.


This thread was automatically locked due to age.
  • 0
    Is the remote networks internal(LAN) ip numbering scheme the same as your local network network block?

    I have issues with this with our users when they are home and have the same internal addressing as we do at work.

    -Scott
  • 0 in reply to ScottL
    if you look at the routing above that is not an issue..  I am numbered x.x.255.x everyone else is x.x.something other than 255.x.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    I had the same issue. I am new at this but here is what I did...

    1 - Created a new masquerading rule  of VPN Pool (SSL) to Internal network
    2 - Created a new packet filter rule for VPN Pool (SSL) to Internal network choosing the Terminal Applications service.

    I don't know if it is the best practice way to do it but I cna now use the astaro vpn client and rdp into what ever server I want to...as well as ping.

    Let me know if this helps or if I wans't understanding your question.
  • 0 in reply to gotsql
    INteresting.  I'm going to try reformatting the server and re-updating.  either way, i'll be filing this one as a bug report with astaro as it appears the automatic rules are not working.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    Is there a way the vpn clients can log in and get the same pool as the internal network, theoretically putting it on the "same" network?
  • 0
    i have the same probleme i think.
    i can connect to the internal network , can ping all workstation and server , ping gateway , have dns resoltion , but impossible to ping external network or surf internet throught the firewall.
    have made all the rules and nat have try all possible configuration on astro but nothing.
    have someone the solution or it's a astaro openvpn beug.
    sorry for my bad english i'm french.

    i speak about the V7 post production , have V6 on production
  • 0 in reply to abilio
    depends mainly on what's the LOCAL NETWORK on the ssl-vpn-server (the astaro); if this is the internal net, u can access there...
    if u like to access more than internal, try to set more in local networks - "any" for accessing internet
    don't forget to masq the vpn pool to external ifc

    rgds, andre
  • 0 in reply to AMros
    no is not that the problem , if you put any on local network "any" nothing work .
    i have found the issue.
    to fix that problem i need this option in openvpn.conf on astaro openvpn server
    push "redirect-gateway def1" that for all communication of the client to pass throught the vpn connection.
    but we don't have this option on webadmin , i have try to put it on openvpn.conf on astaro but without success cause when i made the change and start openvpn server , all my change are reset by astaro.
    how can i change the configuration and take effect.

    we need this option on webadmin.
    thx for all
  • 0 in reply to abilio
    i fixed the problem to add push "redirect-gateway def1" on astaro openvpn config.
    for this
    ssh on astro with putty or other ssh soft.
    cd /var/sec/chroot-openvpn/etc/openvpn
    vi openvpn.conf-default
    add on push push "redirect-gateway def1" on config file

    do a nat openssl pool >> external wan
    add on packet filter rules all rules needed to openvpn pool
    deselect on auto acket filter rules and enjoye

    with this all traffic client pass throught the vpn and you see on packet filter rules log all log from your openvpn ssl client are logged and they can surf internet , ping etc.. througt astaro to surf internet.

    access all internal network and all internet service.
    i have made this for my mobile phone htc 4550 to bypass proxy restriction provider and have the possibility to have a real connection internet on my phone.

    sorry for my english i'm french [:)].

    i think astaro developper can add this fonctionnality on webadmin directly , more easy for non advanced user to add this possibility more easy.

    .
  • 0 in reply to abilio
    hmmm...
    independend of the fact, that the "any" thing works on many sites for me: isn't it the same...?
    if i set "any" as the local network it creates a 0.0.0.0 route for the client; have to be the same effect as the gw-redirect;
    anyway - it works, that's important..
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?