Need to masquerade for SSL VPN

Please show a pic of your 'Remote Access >> SSL' 'Global' tab.  Also of the related packet filter rules if you aren't using 'Automatic packet filter rules'.

On the global tab the following is specified:

users and groups:

only one account, my account

local networks:

internal network (network)

Automatic packet filter rules is checked.

Franc.

Franc, do you have any other NAT or Masq settings which could be interfering?
Any policy routes?

Barry

Hi Bob,

no I don't. The only MASQ rules I've set are from the host in the DMZ to External, Firewall on Internal network to External and VPN Pool (ssl) -> Internal

No packet filter rules regarding the SSL VPN

Franc.

Very strange.  What about your SNAT and DNAT rules?

Hi Bob,

I've sent the screenshots of my DNAT/SNAT rules to you by private message if you don't mind.

Edit: hmmm, it seems I'm not able to send attachments using private messages.

Franc.

Yes, received the email.  Everyone, I can't see anything in his 11 DNATs that would hi-jack ping traffic - or anything else for that matter.

I don't understand.  It seems like it's not getting the routing.  At this point the only thing I can think of is to completely uninstall the SSL client, then re-install from the User Portal.  Something didn't "take" the first time.

Cheers - Bob

Hi Bob,

thanks. But is there some explanation that everything works fine when I enable the masquerading rule? When everything is OK once the MASQ rule is active then it couldn't be the client, could it ?

Franc.

Do you have the Local networks correctly defined in the VPN setup on the firewall?

Barry

The screenshot of the global settings tab some posts earlier show that I have.

Franc.

Hi there, 

in order to make sure that this setup works, you have to make sure, that the computer/server in the LAN to which you want to connect to, routes all traffic going to '10.242.2.0/24' need to be sent back to the Astaro Gateway. 

This is normally done by setting the default gateway to the Astaro, but i have seen scenarios in the past, where ASG has been used as a VPN gateway and the default firewall was another system. 

That would also explain why the setup works if Masquerading gets enabled, because in this case, the SRC ip gets substituted with the Interface IP of the ASG from '10.1.0.0/16'. As this ip address is directly addressable from the computer/server, it will be routed back to the ASG.

THere are two solutions:
1) change the default gateway to Astaro
2) add a route to the computer/server you want to connect from the VPN, and route the network '10.242.2.0/24' to the ip adress of the ASG. 

this should than hopefully fix the problem. 
Does it?

regards
Gert

Hi Gert,

that's indeed our setup. I use the ASL with 2 internal nics (see my first post), one is connected to the internal network directly (bypassing our proxy server whcih sits between the internal network and the dmz) and the other is connected to one side of the DMZ. Now you mention it, the default gateway for our internal hosts isn't set to the ASL but to the other firewall. Your explanation makes full sense to me now. Thanks! 

Bob and Barry, thanks for all your help and sorry if my answers weren't clear enough to state that I was using the setup Gert describes. I sincerely apologize for that!

Franc.

Hi Gert,

that's indeed our setup. I use the ASL with 2 internal nics (see my first post), one is connected to the internal network directly (bypassing our proxy server whcih sits between the internal network and the dmz) and the other is connected to one side of the DMZ. Now you mention it, the default gateway for our internal hosts isn't set to the ASL but to the other firewall. Your explanation makes full sense to me now. Thanks! 

Bob and Barry, thanks for all your help and sorry if my answers weren't clear enough to state that I was using the setup Gert describes. I sincerely apologize for that!

Franc.