Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 7216 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN (vista x64) drops - no messages

va3mw
I've been chasing this weird problem.

New install of OpenVPN connecting to my ASG at home.  Connects fine and then runs for about 5 minutes.

With warning, the connection is dropped.  I go from being able to ping the ASG from the internal 192.168.1.*** subnet to getting a general error.

Watching the OPENVPN log on the gateway still shows data moving (lots of TUN WRITEs/READS and UDPv4 Writes and reads.  In fact, it still thinks it is connected even though I can't ping the internal address.

Looking at the client long for openvpn, there are no new messages generated (the last message being logged at the successful completion of the client connecting to the ASG).

I'm not sure how to diagnose this further.  I can access the outside world, but now those packets are not traveling through the ASG.  This tells me the client is 100% not communicating with the ASG when it was for the first 5 minutes or so.

Clues on what I could chase after next?

Many thanks all!


This thread was automatically locked due to age.
Parents Reply
  • 0 in reply to va3mw
    According to one of the above links, Vista won't work correctly with Astaro SSL VPN with OpenVPN 1, and you need OpenVPN 2.

    According to another of the links above, the issue is the sequence of adapters in your PC, not the Astaro.
Children
  • 0 in reply to BAlfson
    Sorry for the confusion.  The openvpn is 2.09 (the GUI version is 1.03).

    I need to check on the order of the adapters on the client.  What order should they be in, and how do I change the order if need be?

    I checked the links above and searched in their knowledge base, but was unable to find the document that referenced adapter ordering.  

    The Astaro SSL client is not installed and I am using the Open VPN client.  I have copied the 4 key files into the openvpn config directory as well.  I know I am using the right config files or the client would not be able to connect at all.

    thanks
  • 0 in reply to William Warren
    Thanks but I am way past that setup.  If you don't run the GUI as an admin, then you don't get the route to the VPN established at all.  If you watch the login, you can see that the add route command fails.

    This is NOT the run as administrator problem.

    Mike
  • 0 in reply to va3mw
    Thanks Bruce, I did miss the PS part, and I will check that.

    I spent time yesterday and redid the install of the client, as well, I changed the port back to 443 instead of the one I was using.  That seemed to work, so can mark this as solved.

    (Interesting problem while now on my air card (Telus), I can bring up my VPN and connect, but I can't get anywhere).  

    Now, on my air card, if I bring up the SSL VPN, I log in OK, get an IP address from the VPN pool, but can't get anywhere either internal or external.

    If I do an ipconfig, I get the following.  Notice that the Gateway on the 3G connection is not there (I expect that to happen), but on the IP address assigned by the SSL VPN pool, it shows a gateway that I can ping, but might not be routed correction I guess to the other ASG subnet (the 192.168.***.***).  I can ping that gateway just fine.  

    Sadly, I can't connect to the ASG either internally or externally to see what the routing issue might be.

    Possibly this discussion should go into another thread.  Could this be an adapter order issue?

    I really appreciate every ones input.

    Windows IP Configuration


    PPP adapter 3G Connection:

       Connection-specific DNS Suffix  . :
       IPv4 Address. . . . . . . . . . . : 10.73.44.121
       Subnet Mask . . . . . . . . . . . : 255.255.255.255
       Default Gateway . . . . . . . . . :

    Ethernet adapter Local Area Connection 4:

       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . :

    Ethernet adapter Local Area Connection 2:

       Connection-specific DNS Suffix  . : ***XX.***XX.***
       Link-local IPv6 Address . . . . . : 
       IPv4 Address. . . . . . . . . . . : 10.242.2.6
       Subnet Mask . . . . . . . . . . . : 255.255.255.252
       Default Gateway . . . . . . . . . : 10.242.2.5
  • 0 in reply to va3mw
    So, I thought we had this fixed, but we don't.

    Again, it stays connected (wireless at Starbucks as an example), then it dies after about 5 minutes.  You can't ping the ASG on the internal side and the SSL icon stays green.

    Should that not be a bug?
  • 0 in reply to va3mw
    Since you're in North America, why don't you just switch over to L2TP over IPsec?  More secure, more flexible and uses the Windows native VPN client.

    Cheers - Bob
    PS There could be some other setting on your laptop that's mucking with the SSL connection, that's the reason for my suggestion.
  • 0 in reply to BAlfson
    Before you give up- try a "route-delay 20" instead of "2".  Some systems really need some extra time to digest the routes.

    As far as the sequence of interface bindings, you want the SSL VPN adapter first in the list.  The MS KB on this is here: How to change the binding order of network adapters in Windows XP and in Windows 2000

    You should be able to get this working, I have used OpenVPN in a bewildering array of situations for many years with few real problems.  I find it more forgiving when using EV-DO or weak wireless, and the ability to do split or full tunneling as needed makes it a very versatile solution.
  • 0 in reply to Jack Daniel
    Thanks guys, I can try both.  This is a good week to try that as I am traveling and it is clear that it is related to network performance.

    I've increased the route delay to 20.  I will also configure the other VPN connection.

    Mike
  • 0 in reply to William Warren
    All

    Thought I would provide an update.  Increasing the timeout from 2 to 20 made a large difference, however, it didn't solve all the problems and just now I had another dropped connection.

    It doesn't show up on the GUI.  And, when it is down, if you try to ping the ASG internal IP address, all you get is a general failure message on Vista's command prompt.

    What I think happens is that the connection does actually drop for a short period of time (1 min-ish).  Open VPN doesn't catch it, but the OS does.  This leaves OPENvpn in limbo.  

    I will try the L2TP configuration as well (later this week).  Heck, I would even use PPTP if I thought it would work all the time.

    William, I had reviewed that link some time ago.  In fact, that is the one I used on the initial install.  This is not the 'run as administrator' problem.  I would also NOT recommend ever turning off UAC if you are the least bit interested in security in the first place.