Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 9283 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN Connection Error

kruserm
I am trying to configure SSL VPN and I am having trouble connecting to the firewall.  With SSL remote access enabled I see this in the openvpn log:

Non-OpenVPN client protocol detected 
Access list forbids forwarding of non-OpenVPN connection from IP xx.xx.xx.xx 
Connection reset, restarting [0] 
SIGUSR1[soft,connection-reset] received, client-instance restarting 

I am not sure what I have set wrong, if anyone could help it would be greatly appreciated.

Also, when I disable SSL remote access I can get to the user portal but when SSL remote access is enabled I cant get to anything.

Let me know if some other logs would be useful and if this error is already discussed in another post please point me in the right direction as I could not find anything useful in solving this issue.


This thread was automatically locked due to age.
  • 0 in reply to kruserm
    Do you have a DNAT rule in place for HTTPS?
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I created a DNAT and packet filter rules and I attached a pic of the rules.  Let me know if I have some set wrong.
  • 0 in reply to kruserm
    That DNAT rule should be deleted.  My concern was that you might have an existing DNAT rule that captures HTTPS traffic.  Perhaps you could post a pic of existing DNAT/SNAT rules.

    This packet filter rule should be replaced by one that allows 'Web Surfing' traffic from 'Internal (Network)' to 'Any'.  'Web Surfing' is a service group that was pre-installed in the software load, and it includes https.

    Also, I would suggest you rename "Red" to "External" so that future questions are clearer for the rest of us.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I attached pics of my packet filter and dnat rules.  I have a mail server that is using port 443.  So I put the ssl vpn on a different port.  I think the rules are correct because when I disable ssl vpn I can get to the user portal but when I enable ssl vpn I can no longer get to the user portal, I get the generic 'page cannot be displayed'.

    Let me know if there are any other screenshots that would help.
  • 0 in reply to kruserm
    It looks like your setup is exactly the same as in our office.  If you’ll click on my name above and send me an email, I’ll email you our PF and DNAT rules and our service definitions.

    Packet Filter Rules:

    Rule 1 – It looks like you’re using Small Business Server and you offer Outlook Web Access (OWA) for people to get mail remotely.
    Rule 2 – Unless you’re receiving network management messages (SNMP), this rule has no effect.  Your email is already getting through to Exchange because the SMTP Proxy captures port-25 traffic before it gets to the packet filter.
    Rule 3 – When Jack Daniel had occasion to look into our Astaro and saw the same thing, he commented that it seemed “overly broad” – that’s probably as harsh as the understated guru ever gets.  When you see the replacement rules I made, you’ll see I took his advice.
    Rule 4 – You can replace ‘Any’ with ‘Internal (Network) in this definition without changing what it does; still, I’m not sure it does anything for you.



    DNAT Rules:

    Rule 1 – You don’t need HTTPS in the Destination translation.  It shouldn’t make any difference, but I’ve heard of some people having a difficulty with it there.
    Rule 2 – As above, if you aren’t receiving  network management messages on your server, this rule is unnecessary.
    Rule 3 – This rule should be deleted.



    The “standard” approach to offering OWA is almost identical to what you are doing.  The thing that would make your life much easier would be to create an additional address on the external interface, and substitute that for ‘External (Address)’ in your related DNAT and PF rules.  This would mean you could use the standard ports for everything without creating conflicts between OWA, SSL VPN and the User Portal.  In the installations we do, the regular Astaro external IP is ‘mail.domain.com’ and the additional address is ‘outlook.domain.com’.  Let me know if you don't have a spare public IP address.

    Cheers – Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner