Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 9271 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN Connection Error

kruserm
I am trying to configure SSL VPN and I am having trouble connecting to the firewall.  With SSL remote access enabled I see this in the openvpn log:

Non-OpenVPN client protocol detected 
Access list forbids forwarding of non-OpenVPN connection from IP xx.xx.xx.xx 
Connection reset, restarting [0] 
SIGUSR1[soft,connection-reset] received, client-instance restarting 

I am not sure what I have set wrong, if anyone could help it would be greatly appreciated.

Also, when I disable SSL remote access I can get to the user portal but when SSL remote access is enabled I cant get to anything.

Let me know if some other logs would be useful and if this error is already discussed in another post please point me in the right direction as I could not find anything useful in solving this issue.


This thread was automatically locked due to age.
Parents
  • 0
    Also, when I disable SSL remote access I can get to the user portal but when SSL remote access is enabled I cant get to anything.

    What/where is "anything"?

    Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I am using astaro 7.305 and I am trying to connect from windows XP using IE and I tried firefox.  I cant even connect to the VPN page so I can download the VPN client.  Although I downloaded the latest openvpn client it still did not allow me to connect.

    I attached a pic showing the SSL settings.
  • 0 in reply to kruserm
    So, "anything" means you can't connect to the User Portal, but you can still access WebAdmin via the external interface.  When you activate SSL Remote Access, can you download the Astaro SSL VPN client and config files with the User Portal via the Internal interface?
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Is the "Red" network your DMZ or External? 
    (If it's external, it shouldn't be in the Local Networks list.)

    Barry
  • 0 in reply to BAlfson
    With ssl remote access enabled I can not get to the user portal or the ssl vpn site.  If I disable ssl remote access I can get to the user portal but then obviously can not connect to the vpn.
  • 0 in reply to kruserm
    Yes the red network is the external network.  I will remove that and see what happens.  I dont have the ssl how-to in front of me but I thought it said to put that network in there.
  • 0 in reply to kruserm
    So, with ssl remote access enabled, you can't get the User portal with https://[internal interface IP] when inside the Astaro nor with https://[external interface IP] when outside? (use the numeric address, not FQDN)

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0 in reply to kruserm
    So, with ssl remote access enabled, you can't get the User portal with https://[internal interface IP] when inside the Astaro nor with https://[external interface IP] when outside? (use the numeric address, not FQDN)

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    BAlfson you are correct, if I have ssl remote access enabled and have the external network in the local networks I can't get to the user portal from within the network or from outside the network.  If I remove the external network from the local networks and I can get to the user portal and access the ssl options internally, but I can't even get to the user portal externally.
  • 0 in reply to kruserm
    I am still unable to connect externally, if anyone has any suggestions I would appreciate it.  

    Like I posted before if I remove the external interface from the ssl remote access I can get to the user portal internally but I cant get to the user portal externally.  If I add the external interface to the ssl remote access I cant get to the user portal internally or externally.

    I think I am really close to having this work but I am unsure which interface to add to the ssl remote access so I can access the user portal internally and externally.
  • 0 in reply to kruserm
    Do you have a DNAT rule in place for HTTPS?
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I created a DNAT and packet filter rules and I attached a pic of the rules.  Let me know if I have some set wrong.
  • 0 in reply to kruserm
    That DNAT rule should be deleted.  My concern was that you might have an existing DNAT rule that captures HTTPS traffic.  Perhaps you could post a pic of existing DNAT/SNAT rules.

    This packet filter rule should be replaced by one that allows 'Web Surfing' traffic from 'Internal (Network)' to 'Any'.  'Web Surfing' is a service group that was pre-installed in the software load, and it includes https.

    Also, I would suggest you rename "Red" to "External" so that future questions are clearer for the rest of us.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I attached pics of my packet filter and dnat rules.  I have a mail server that is using port 443.  So I put the ssl vpn on a different port.  I think the rules are correct because when I disable ssl vpn I can get to the user portal but when I enable ssl vpn I can no longer get to the user portal, I get the generic 'page cannot be displayed'.

    Let me know if there are any other screenshots that would help.
  • 0 in reply to kruserm
    It looks like your setup is exactly the same as in our office.  If you’ll click on my name above and send me an email, I’ll email you our PF and DNAT rules and our service definitions.

    Packet Filter Rules:

    Rule 1 – It looks like you’re using Small Business Server and you offer Outlook Web Access (OWA) for people to get mail remotely.
    Rule 2 – Unless you’re receiving network management messages (SNMP), this rule has no effect.  Your email is already getting through to Exchange because the SMTP Proxy captures port-25 traffic before it gets to the packet filter.
    Rule 3 – When Jack Daniel had occasion to look into our Astaro and saw the same thing, he commented that it seemed “overly broad” – that’s probably as harsh as the understated guru ever gets.  When you see the replacement rules I made, you’ll see I took his advice.
    Rule 4 – You can replace ‘Any’ with ‘Internal (Network) in this definition without changing what it does; still, I’m not sure it does anything for you.



    DNAT Rules:

    Rule 1 – You don’t need HTTPS in the Destination translation.  It shouldn’t make any difference, but I’ve heard of some people having a difficulty with it there.
    Rule 2 – As above, if you aren’t receiving  network management messages on your server, this rule is unnecessary.
    Rule 3 – This rule should be deleted.



    The “standard” approach to offering OWA is almost identical to what you are doing.  The thing that would make your life much easier would be to create an additional address on the external interface, and substitute that for ‘External (Address)’ in your related DNAT and PF rules.  This would mean you could use the standard ports for everything without creating conflicts between OWA, SSL VPN and the User Portal.  In the installations we do, the regular Astaro external IP is ‘mail.domain.com’ and the additional address is ‘outlook.domain.com’.  Let me know if you don't have a spare public IP address.

    Cheers – Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner