Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 10324 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

OPenVPN Client connects to Server but cannot see local network

dman777
Okay...I can successfully connect my roadwarrior client to the OpenVPN server on the ASG.  But...I cannot see any of my internal network (i.e. ping, etc.)  I have played around with NAT rules.  And I still cannot get this thing to work.  

My question is... is there a particualar DNAT or SNAT rule that needs to be applied to allow packets from the tunnel into my local network.  I've tried routing the external address and port to the local network and that did not work.  Any advice would be appreciated.

Thanks,


This thread was automatically locked due to age.
  • 0
    We were having the same issue, though it was intermittent.  At times we could connect, and at other times we couldn't connect at all.

    1.) If your road warrior VPN client is installed on a Vista desktop (XP keep reading), take a look at the Astaro knowledge base tech note about using the VPN client with Vista.  If you're using XP, at least implement the "route-method" and "route-delay" lines.

    2.) There is another tech note, also in the Astaro knowledge base, saying that Norton Internet Security doesn't play nice with the Astaro (OpenVPN) SSL VPN client, and the only fix is to not use NIS.  Our testing appears to confirm this so far.  We're continuing to test for a bit more time to be sure that's the only issue.
  • 0 in reply to eganders_01
    3.)   The Astaro (OpenVPN) SSL VPN client on your computer running MS Windows XPSP3 has yet another problem that will keep you from connecting consistently via the VPN.  Note: This particular problem does not affect Win XP SP2 computers and this fix is not valid for them!

    Here's a thread about it on Microsoft Technet:
    http://forums.microsoft.com/TechNet/ShowPost.aspx?PostID=2600430&SiteID=17

    Implement the following Microsoft hotfix and this should take care of it:
    http://support.microsoft.com/kb/953761

    Alternatively, if you'd rather, you can remove WinXP SP3 and go back to WinXP SP2 which does not use this patch, and does not have this problem.
  • 0
    FWIW, you don't need NAT to ping the Internal networks, but you'd want to NAT to EXT if appropriate.

    Assuming you have the ICMP ping and traceroute settings turned on.

    Don't forget to set the DNS proxies, etc. to allow the VPN Pool(s).

    Barry
  • 0 in reply to BarryG
    Assuming you have the ICMP ping and traceroute settings turned on [inside the Astaro].


    Hmmm.  You're already inside the network via the VPN (same internal subnet).  You should just be able to ping, traceroute, etc. the device from your computer via the VPN client.  Though to do this from the Astaro itself, you would have to have the features turned on as Barry mentioned.
  • 0 in reply to eganders_01
    The VPNs I've used with Astaro, including OpenSSL, put the client into one of of the VPN Pools, which are not the same as the LANs.

    Barry
  • 0 in reply to BarryG
    The VPNs I've used with Astaro, including OpenSSL, put the client into one of of the VPN Pools, which are not the same as the LANs.
    Barry


    Barry, you are absolutely correct about the pools - my bad.

    I've just tested to be sure, pinging via the VPN is working with even with the checkbox for allowing pinging across the Astaro set to disabled.
  • 0 in reply to eganders_01
    Hmmm.  You're already inside the network via the VPN (same internal subnet).  You should just be able to ping, traceroute, etc. the device from your computer via the VPN client.  Though to do this from the Astaro itself, you would have to have the features turned on as Barry mentioned.


    Okay. I am connected to the ASG via the OpenVPN server, but am I actually a part of the same subnet.  Since I am a road warror logging into the VPN, I am a part of the VPN pool as you mentioned.  The VPN pool is subnet 10.242.2.0/24.  My local network subnet is 192.168.1.0/24.  Should I be able to ping from the VPN pool to the Internal Network?  Because as of now I can't.   I created a packet filter "VPN Pool > Any > Internal Network" and that did not work either.  I did configure the DNS Server and HTTP Proxy to see my VPN Pool as well.

    Still stuck.
  • 0 in reply to dman777
    You can try creating a SNAT rule for the vpn pool so it looks like it is coming from the Internal IP address of the astaro.
  • 0 in reply to dilandau
    Okay.  This is what I had to do to get my SSL-VPN to work.

    From a previous post I did the following:
    First
    Through SSH I had to edit the openvpn.conf-default file and add the line push "redirect-gateway def1".  

    Second, I edited one other line in the openvpn.conf-default that reflects the subnet lines that pushes the internal subnet to the VPN client (ie. 192.168.1.0 255.255.255.0)  Then I restarted the SSL service on the ASG.  From here  I am able to ping the LAN.

    Third, I created a network group which consists of my internal network and my VPN pool.  Replaced each of my packet filters with the network group name.  

    Fourth, I revised my masquerading rule with my network group name.  From here I am able to access the internet.

    Fifth, I revised the HTTP proxy with my new network group and now I have filtered content.  

    It works!!!  Thanks everyone for all of your replies.

    See yah.
  • 0 in reply to dman777
    Good news dman777.

    If I might ask, what references did you use for the changes you made to the config files on the Astaro itself (your items "first" and "second")?

    Thx
Cookie Information Banner