Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 34 replies
  • Subscribers 1 subscriber
  • Views 77969 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

New SSLVPN client DNS problems

jkmichael
I've been having a chronic issue ever since upgrading the SSLVPN client from v1.2 (which worked great) to the newer 1.3 that is included with 7.1xx. The issue is that the VPN connects perfectly fine, and I can ping all internal hosts just fine, but *DNS* is broken. The client shows that it got the internal DNS server (which pings just fine), but DNS names are *not* being sent to this internal DNS server provided to the SSL adapter. Instead, the DNS the machine is already using (in this case, an ISP DNS) is used instead... thus I can't resolve any internal names, even though I can connect to anything across the VPN by IP address!

Here are some facts:

- ipconfig /all shows that the SSLVPN adapter gets the correct internal DNS server delivered to it.
- pinging the internal DNS works, and all hosts across the VPN can be contacted by IP address.
- while connected to VPN, the client does NOT use the internal DNS like it used to.
- This ONLY started happening with the 1.3 SSLVPN client. 
- About one out of every four attempts the client *will* use the internal DNS like it should, but it seems random.
- Sometimes doing ipconfig /renew *while* connected to VPN will instantly fix the problem and the client starts using the internal DNS.
- Packet filter log does not show any DNS packets being generated by the VPN client being blocked. (I thought perhaps there was a problem with the auto-packet-filter feature of the SSLVPN, but this doesn't seem to be the case)
- This is happening on Windows XP SP2 + latest patches. Haven't tested on any other OS.

I am at a loss as to what is wrong, other than guess that the newer 1.3 client is simply broken in some way regarding DNS. 

Any suggestions?


This thread was automatically locked due to age.
  • 0 in reply to mschimmer
    I reopened my support case, since they close it without any knowledge of mine and without any solution.

    Let's see what happens this time.

    We are using the latest VPN client given from our ASG 320.

    I'm going to test your idea, I'll post back the findings.

    Regards.
  • 0 in reply to jasggomes
    I think I'll bump this to the top. I have a client evaluating an ASG appliance with the exact same issue and they're not happy...sometimes DNS works, other times it does not.
  • 0 in reply to allanak
    Check your DNS ACL for your SSL-VPN IP range. Your SSL-VPN range should have access on the DNS to query the DNS server.
  • 0 in reply to Nardus
    Firewall rules to DNS servers would not cause intermittent name resolution. ACLs are definitely not the problem. I believe the problem is with the OpenVPN client and setting DNS priority (or lack thereof). Connect once or twice, no resolution. Reconnect and it works fine.

    To simplify:
    1. User connects to VPN
    2. User pings a resource by name...can't resolve
    3. Ping by IP...works fine
    4. Disconnect

    --- Rinse, repeat...different results ---

    1. Reconnect to VPN just after disconnecting
    2. ping by name...works

    How does this make sense?
  • 0 in reply to Nardus
    Hello to all and sorry for the delay, the support found a solution for my case, and so far it's working.

    The solution is to issue a 'ipconfig /registerdns' after the process of VPN logon, you can test it manually but it can be done automatically.

    There is some scripts on this thread that can do that but the people at the support done some alterations on the config files at the ASG

    This is the solution, given to me by ASG support, I hope not doing nothing wrong on posting it here, if so please remove it at once and PM me.

    ----------------------------------------------------------------
    to add the change to all config files which are downloadable over the enduser
    portal please edit the file client.ovpn-default who is located at
    /var/openvpn/client. Add following lines to the end of the file:

    #dns workarround
    push "ipconfig/registerdns"

    If you download now a configuration over the user portal this line should be
    included at the .ovpn file located at
    c.\programs\astaro_ssl_client\config\connection\.ovpn
    ------------------------------------------------------------------------------
    Again, this is not my credit, its from the helpful support guy that does not stopped until we find something we could work on.

    I hope this can help all of us with this annoying problem.

    Best regards.
  • 0 in reply to allanak
    Firewall rules to DNS servers would not cause intermittent name resolution. ACLs are definitely not the problem. I believe the problem is with the OpenVPN client and setting DNS priority (or lack thereof). Connect once or twice, no resolution. Reconnect and it works fine.

    To simplify:
    1. User connects to VPN
    2. User pings a resource by name...can't resolve
    3. Ping by IP...works fine
    4. Disconnect

    --- Rinse, repeat...different results ---

    1. Reconnect to VPN just after disconnecting
    2. ping by name...works

    How does this make sense?


    It doesn't .... but it was one of the behaviors that we had...

    try the solution above, its working for us, for now ...;-)
  • 0 in reply to jasggomes
    It doesn't .... but it was one of the behaviors that we had...

    try the solution above, its working for us, for now ...;-)


    Thanks much! Will have to wait and see if this resolves the problem. I don't have issues on my mac clients so it's tough to say so far. I'm wondering if the next time I need to do a firmware update this will get wiped or persist?
  • 0 in reply to allanak
    Thanks much! Will have to wait and see if this resolves the problem. I don't have issues on my mac clients so it's tough to say so far. I'm wondering if the next time I need to do a firmware update this will get wiped or persist?


    I have a support call in with Astaro, hopefully will have a resolution soon, will post if I get any updates

    I have now received a response stating that there will be a fix in v7.5!
  • 0 in reply to Fozwiz
    Hello all,

    I'm doing the update from the 7.306 to the 7.4 on one of the ASG's that we controll and noticed that the file 'client.ovpn-default' on /var/openvpn/client has this settings:

    ##############################################
    # Sample client-side OpenVPN 2.0 config file #
    # for connecting to multi-client server.     #
    #                                            #
    # This configuration can be used by multiple #
    # clients, however each client should have   #
    # its own cert and key files.                #
    #                                            #
    # On Windows, you might want to rename this  #
    # file so it has a .ovpn extension           #
    ##############################################

    # Specify that we are a client and that we
    # will be pulling certain config file directives
    # from the server.
    client

    # Use the same setting as you are using on
    # the server.
    # On most systems, the VPN will not function
    # unless you partially or fully disable
    # the firewall for the TUN/TAP interface.
    ;dev tap
    dev tun

    # Windows needs the TAP-Win32 adapter name
    # from the Network Connections panel
    # if you have more than one.  On XP SP2,
    # you may need to disable the firewall
    # for the TAP adapter.
    ;dev-node MyTap

    # Are we connecting to a TCP or
    # UDP server?  Use the same setting as
    # on the server.
    ;proto tcp
    proto []

    # The hostname/IP and port of the server.
    # You can have multiple remote entries
    # to load balance between the servers.
    remote [] []
    ;remote my-server-2 1194

    # Distinguished Name of server
    # Retrieve by: openssl x509 -subject -noout -in server.crt
    tls-remote "[]"

    # Choose a random host from the remote
    # list for load-balancing.  Otherwise
    # try hosts in the order specified.
    ;remote-random

    # Keep trying indefinitely to resolve the
    # host name of the OpenVPN server.  Very useful
    # on machines which are not permanently connected
    # to the internet such as laptops.
    resolv-retry infinite

    # Most clients don't need to bind to
    # a specific local port number.
    nobind

    # Downgrade privileges after initialization (non-Windows only)
    ;user nobody
    ;group nobody

    # Try to preserve some state across restarts.
    persist-key
    persist-tun

    # If you are connecting through an
    # HTTP proxy to reach the actual OpenVPN
    # server, put the proxy server/IP and
    # port number here.  See the man page
    # if your proxy server requires
    # authentication.
    ;http-proxy-retry # retry on connection failures
    ;http-proxy [proxy server] [proxy port #]

    # Wireless networks often produce a lot
    # of duplicate packets.  Set this flag
    # to silence duplicate packet warnings.
    ;mute-replay-warnings

    # SSL/TLS parms.
    # See the server config file for more
    # description.  It's best to use
    # a separate .crt/.key file pair
    # for each client.  A single ca
    # file can be used for all clients.
    ca []
    cert []
    key []

    # Force username and password

    auth-user-pass

    # Verify server certificate by checking
    # that the certicate has the nsCertType
    # field set to "server".  This is an
    # important precaution to protect against
    # a potential attack discussed here:
    #  OpenVPN 2.0 HOWTO
    #
    # To use this feature, you will need to generate
    # your server certificates with the nsCertType
    # field set to "server".  The build-key-server
    # script in the easy-rsa folder will do this.
    ;ns-cert-type server

    # If a tls-auth key is used on the server
    # then every client must also have the key.
    ;tls-auth ta.key 1

    # Select a cryptographic cipher.
    # If the cipher option is used on the server
    # then you must also specify it here.
    ;cipher x
    cipher []
    auth []

    # Enable compression on the VPN link.
    # Don't enable this unless it is also
    # enabled in the server config file.
    []comp-lzo

    # Set log file verbosity.
    verb 3

    # Silence repeating messages
    ;mute 20

    # Let the server decide when to renegotiate keys
    reneg-sec 0

    # workarround for dns problem
    route-up "ipconfig -registerdns"

    =============================

    Last two lines where the ones added by the ASG support guys on this file.
    You will need to redeploy the config files after updating this

    You should see these lines on the final part of the client log if the change succeeded:

    -----
    Sat Apr 04 11:35:04 2009 Route addition via IPAPI succeeded [adaptive]
    Windows IP Configuration  Registration of the DNS resource records for all adapters of this computer has been initiated. Any errors will be reported in the Event Viewer in 15 minutes.. Sat Apr 04 11:35:04 2009 Initialization Sequence Completed
    ---

    As I said before, this solved our problem with the DNS being resolved over the SSL VPN.


    Regards.
  • 0 in reply to jasggomes
    Hello, 

    can someone tell me where I can find in the new version ASG8 the settings for the client?

    Regards