VPN SSL. What in the world. Need it dumbed down. I followed the tutorial.

OK update:

I was finally able to get the SSL VPN to connect. I connected on the Astaro WAN address on 443. I have a green light etc.

So now how am I supposed to "talk" to all my LAN hardware? Its all 192.168.x.x address space. Shouldnt I be able use those addresses? I tried and could not ping anything or talk to anything.

Hello,

Are the laptop's subnet (192.168.x.y) and the Astaro's LAN subnet different? They have to be different for the routing to work.

Regards,
Patrick

yes they are different. im testing at home on my wireless lan which is 192.168.1.x/24 and the office is 192.168.0.x./24

do i need to change the VPN Pool from 10.x.x.x. to the 192.168.0.x????

One should use the "standard" VPN Address Pool unless it conflicts with an existing subnet.  Check the 'ICMP' tab under 'Network Security >> Packet Filter' to confirm that you are allowing pings.  Also, make sure you have packet filter rules allowing traffic with the VPN Pool.

Cheers - Bob

GREAT. I changed my VPN Pool to 192.168.0.X which is what the subnet is of my Astaro and now I cannot communicate with my Astaro at all.

I just spent three friggin days building this thing. This is just so ridiculous. I guess I have to start all over??? This should never happen. Ever.

If you followed the initial setup guide, you gave it an email address to send backups to.  Also, you still should be able to connect on the internal interface if there's no active VPN.  There are other things you can do if neither of those is available.

Cheers - Bob

well i about had a freaking heart attack today. its so convoluted and wrought with a comedy of errors, Murphy himself would be  jealous.

1. Spent last two days configuring Astaro V7 from scratch to migrate from another seperate V6 Astaro. Didnt want to use the V6 upgrade as I wanted to line item each piece to make sure I wouldnt forget anything. Had a good 15-20hrs into this to get it done and shake it out.

1a. I used the original default VPN Pool (10.x.x.x) but that didnt work with the VPN. The VPN would authenticate and green light me ok, but I could not connect to any of my 192.168.0.x devices despite having Internal (Network) defined in the Remote Access SSL. 

2. I got the bright idea to change the VPN Pool to a network of 192.168.0.x. My thinking was, "hey you talk to other devices on same subnets, maybe I need to change the VPN pool subnet to 192.168.0.x too."  Well I did that then connected to VPN and same thing.The only 192.168.0.x device I could talk to was the Astaro itself.

3. Because of #2, I could no longer ping the Astaro from my LAN. Totally unreachable. Did several reboots and nothing. Connected monitor and it looked like it booted up okay and it showed 192.168.0.1 address but nope, could not ping it at all. Right now Im panicking. Im already thinking oh God if I have to reinstall an ISO from CDROM Im gonna slit my throat.

This was made worse because my first task after testing the VPN was to make a backup of the settings. I had no idea the VPN item would keep me from talking to the Astaro. So I didnt have a backup available just in case I had to start all over.

4. I have another seperate wireless internet connection (redundant) at the location so I went out and was able to connect to the remote access. So the Astaro is up and available from the world. Now I needed to get to the WebAdmin.

5. Connected old Astaro V6 back up because its configured for office access. Wanted to get there so I could use remote access to my office PC to loop back and connect to WebAdmin (have a rule to allow that from V6 network only - not ANY ala wireless redundant network). I changed WebAdmin setting so I could get to WebAdmin from ANY. I needed to do this so I could get to WebAdmin on secondary wireless network here. I then connected to WebAdmin at work from wireless laptop here and remotely controlled my office PC (rule for that access already in place). Then hooked up the V7 Astaro here again. 

So now I was going to connect from office to here which I do all the time. PROBLEM WAS, I had not set up the Astaro V7 WebAdmin allowance for work yet. So even THIS aint gonna help me.

6. Decided to connect laptop to Astaro V7 VPN again since V7 was hooked back up to network here. So I went out on wireless and connected to the other network with V7. Low and behold when the VPN connected I COULD talk to 192.168.0.1.  Thats the ONLY address I could talk to. So I was able to get to WebAdmin (because it defaulted to allow all Internal (Network) IPs. I then logged in and downloaded a couple backups. I also noticed one backup from last night mailed to my work email address. So whie the new backups would just carry over the problem, the one from last night would get me back (minus about 5hrs of work I did after it last night).  I then changed VPN pool back to 10.x.x.x and hten turned it off completely. Of course doing that meant I lost my connection to the Astaro and I was praying I would re-establish one with the LAN.

Took several minutes and FINALLY My PC here could connnect to Astaro again. Logged in and cleaned up a few more things and downloaded some more backups.

Unbelieveable. Every mistake that could have been made was made and every possible solution I looked for had a whammy in front of it. The moral of the story here? Dont ever change your SSL VPN Pool to a subnet thats the same as the Astaro itself. Or you may be rebuilding your ISO off disk.

So I still have no idea how to get this to work. I may just email tech support and have them walk me through it and hold my hand.

I came this close -------> |             |

to having a total nervous breakdown today. I took the Lords name in vain, and spew a venom of expletives loud enough to be heard from the next township.  I honest to God thought 20hrs of work had just gone down the drain.  I drank my dinner tonight.

LOL - Thanks for the entertainment.

Did you get a chance to check that pings are transmitted and that there's a packet filter rule to allow the VPN Pool to talk to your network?

Cheers - Bob

Hi UDPride,

Sorry to hear you've been having problems with SSL VPN - wanted to check with you the following:

Under (Remote Access/SSL/Global / Local Networks)
Your local network is defined i.e. Internal (192.168.0.0/24)
and that "Automatic packet filter rules" is ticked

If your remote client can correctly connect and authenticate but your remote device still cannot connect to a device in your internal network, are packets showing up as being blocked in the packet filter?  (/Network Security/Packet Filter/Rules/ 'Open live log')
or
Is the intrusion protection system kicking in and blocking the VPN traffic?
(/Network Security/Intrusion Protection/Global/ 'Open live log')


Cheers,

Darren

Hi UDPride,

Sorry to hear you've been having problems with SSL VPN - wanted to check with you the following:

Under (Remote Access/SSL/Global / Local Networks)
Your local network is defined i.e. Internal (192.168.0.0/24)
and that "Automatic packet filter rules" is ticked

If your remote client can correctly connect and authenticate but your remote device still cannot connect to a device in your internal network, are packets showing up as being blocked in the packet filter?  (/Network Security/Packet Filter/Rules/ 'Open live log')
or
Is the intrusion protection system kicking in and blocking the VPN traffic?
(/Network Security/Intrusion Protection/Global/ 'Open live log')


Cheers,

Darren

i did have automatic packet filter rule selected in Advanced tab.

The only device I can ping once Im connected to the VPN is the Astaros interal 192.168.0.1 itself. Nothing else on the network even though I have Internal (Network) specified as Local Network. This is connecting from the 10.x.x.x default VPN Pool Network.

Are there any MANUAL filter rules or nats I need to do?

I believe that automatic thing only applies to the rule for letting the VPN connect over port 443.  You still need to explicitly allow traffic through other ports.

Hi UDPride,

another thing to check:
If the Astaro is not your default gateway, your clients might receive the ping requests and answer it, but if the Astaro is not their default gateway and they don't have a route explicitely set for your VPN-Pool, they will send it to their default gateway, which will of course drop (RFC1918) it.

Kind regards,
Patrick

If you are running Vista on the VPN client you need to start the SSL VPN client manually and use the "Run as Administrator" option, otherwise the routing won't be set up correctly when the client connects.

You can check this by running: "route print" in a command prompt and look if there is an entry for the network you are trying to reach.

// Andreas

yes all clients and machines on my office network uses the astaro as the default gateway.

im testing on a WinXP laptop right now (but Vista is imminent).

so I need to add a manual filter rule or something for the 10.x.x.x VPN Pool?

well tried the vpn tonight and voila, it worked. no idea why because i tried it late last week and it didnt work and i dont think i changed any settings. i tested from a winxp laptop using NO manual packet filters or nats. just set up with remote access and added VPN Pool 10.x.x.x to the allowed local networks in the SSL VPN. no more no less other than specifying what IP address and port to connect to the VPN to in Advanced

Hmm. Glad its working. Just not sure why it all of a sudden decided to cooperate. Oh well. Welcome to the happy secure road warrior world of computing. 

ill keep that vista tip handy. i have a vista laptop on another astaro network i need to set up....