Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 9178 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN not working - Connection timed out

stevenhemelaere
Hi,

i'm a new user of Astaro Security Gateway, using 7.402 
(software appliance set up in a mini-itx case with 3 Gb Network ports).

I already was able to get PPTP up & running, but as this isn't encrypted, i would like to try out SSL VPN.

I set up the SSL VPN using the tutorial that can be found in the knowledge base, the only changes i made was in the encryption algorithm (AES-256-CBC), the authentication algorithm (SHA1) and the key size (2048 bit).

I downloaded the client from the user portal on my laptop, connected my laptop on an unsecure wireless network in my neighbourhood, and tried to connect:

TCP: connecto to :443 failed, will try again in 5 seconds. Connection timed out 

I already searched the forum, and read about everything i found, but i didn't find an answer.

The log file is attached.


This thread was automatically locked due to age.
Parents
  • 0
    What i forgot:

    -> I enabled "automatic packet filter rule"

    -> I did not add any masquerading or DNAT rules concerning SSL VPN.
  • 0 in reply to stevenhemelaere
    -> I did not add any masquerading or DNAT rules concerning SSL VPN.

    but may be you DNAT a simple webmail-ifc or similar on 443 ???
    a.
  • 0 in reply to AMros
    Hi,

    thanks for replying [:)]

    First off, i don't have any DNAT or packet filter rules concerning port 443.

    Well, actually, i have the automatic packet filter rule for web surfing active, which includes HTTPS (internal network -> Web surfing -> Any)

    For the other question, if the network allows surfing on https, i'm quite sure, but i'll check it out this evening, ie in an hour.

    What logfiles should i check to see if it reaches the Astaro? I checked some of the logs, which seemed the most obvious (Packet Filter, IPS, OpenVPN), but didn't see a trace there.
  • 0 in reply to stevenhemelaere
    When you are on your neighbor's wireless connection, can you ping your Astaro's external IP?  Is the 'Override Hostname' on the 'Settings' tab blank, the same as or different from that on the 'Hostname' tab of 'Management >> System Settings'?  What deos the OpenVPN Live Log say in the Astaro?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    I can ping my external ip without any problems from the other wlan.

    I had indeed something different in the hostname, but i changed it to my dyndns domaine, and made the ssl settings override blank, after which i downloaded the file again from the user portal to my laptop, and tried again.

    But still the same [:(]

    The OpenVPN log doesn't say anything...

    Do i have to add some DNAT/masquerading/packet filter rules, other than the "automatic packet filter rule" in the global tab of SSL?
  • 0 in reply to stevenhemelaere
    Did you delete the 'Local X509 Cert' and regenerate it? Before re-downloading the installation package, go to the 'Advanced' tab and re-select the 'Local X509 Cert'.

    Did that do it?
  • 0 in reply to BAlfson
    OK.

    I did what you asked, but still the same problem.

    When i try to use the vpn from inside my network, he now connects successfully, however, so it's improving [;)]

    With the help of you guys, i might get to use vpn some time soon [:D]
  • 0 in reply to stevenhemelaere
    I had this same problem and figured it out.

    On the client system, edit the *.opvn file setting in the C:\Program Files\Astaro\Astaro SSL VPN Client\config\  dir.   Use wordpad.    Find the line that references "remote  443    change the hostname to the ip to the interface to your astaro gateway.  In my case, I have 3 net cards:  one for internal wired clients, one for wireless, another for wan.  Sitting on the wireless network, when I attempted to connect to the vpn, the auto conf client settings was trying to get to internal IP address for the astaro gateway.  You can't access the internal IP from the outside or other network without special rules (that you don't want to setup anyway).  The client interface is lacking the IP / hostname setting to adjust for this.

    Cheers
  • 0 in reply to wesley1234
    I don't think that's the problem here.

    As i am trying to connect completely from the exterior, eg from my job or anywhere in the world, and not from an interface on my Astaro.

    So i need to use the dyndns address, which resolves correctly to my current external ip address.

    But i still get the same problem :'(

    Anyone?
  • 0 in reply to stevenhemelaere
    I don't think that's the problem here.

    As i am trying to connect completely from the exterior, eg from my job or anywhere in the world, and not from an interface on my Astaro.

    So i need to use the dyndns address, which resolves correctly to my current external ip address.

    But i still get the same problem :'(

    Anyone?


    So your hostname resolves to the right public ip.  Do you have anything infront of your astaro firewall ?  a nat'd router?    Can you copy/paste the live log for the vpn and also for the packet filtering when you try and connect?
  • 0 in reply to wesley1234
    The SSL setup is very straighforward, but I also had some problems setting it up because I changed the Hostname of the ASG.

    On the 'Global' tab, I listed the Users and Backend Group allowed to use the VPN.  I selected 'Automatic packet filter rules' and have 'Internal (Network)' in 'Local networks'; if I wanted the clients to route all internet traffic through the Astaro, I would have 'Any' here instead, and I would add the 'VPN Pool (SSL)' to networks allowed to use the HTTP/S Proxy.

    On the 'Settings' tab, I've listed "TestMyCompany.dyndns.x" which matches the hostname; I haven't tried leaving this blank, although that should work.

    I made sure that 'Local X509 Cert' was not selected on the 'Advanced' tab here or in the IPsec configurations, then I deleted and regenerated the 'Local X509 Cert'.  I filled out all of the fields in the Cert, and used copy-and-paste to be sure that the email address at the bottom was correct as well as the VPN ID (select "Hostname" instread of "email address") had the exact value in 'Override Hostname'.  I returned to the IPsec and SSL configurations to select "Local X509 Cert" and hit [Apply].

    I then logged into the End User Portal via the external port as one of the Users allowed to access the SSL VPN, and I downloaded and installed the package.  This now works fine on V7.450 just as it had when I played with the same ASG under 7.305.  My two mistakes were using an incorrect Hostname and failing to complete all fields when I generated the Local X509 Cert.

    Cheers - Bob
  • 0 in reply to BAlfson
    OK,

    i should have checked this way earlier, so i could have avoided bothering you guys...

    Just called my internet provider, apparently they automatically block every connection on ports 1-1024.

    I just had to set the SSL port above that standard (i know [8-)] ) range...

    Sorry 'bout the trouble, but maybe someone will be helped with this revelation (ahem...)

    Thanks go to BAlfson, wesley1234, Krycek and AMros. Couldn't have done this without you!
Reply
  • 0 in reply to BAlfson
    OK,

    i should have checked this way earlier, so i could have avoided bothering you guys...

    Just called my internet provider, apparently they automatically block every connection on ports 1-1024.

    I just had to set the SSL port above that standard (i know [8-)] ) range...

    Sorry 'bout the trouble, but maybe someone will be helped with this revelation (ahem...)

    Thanks go to BAlfson, wesley1234, Krycek and AMros. Couldn't have done this without you!
Children
No Data