Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 64 replies
  • Subscribers 1 subscriber
  • Views 57863 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN connects, but doesn't route traffic or do much at all

bhall7
I recently upgraded to ASG 7.500.  Prior to the upgrade, my SSL VPN worked fine; however, after the upgrade, it is no longer working properly.  I downloaded and installed the latest client from the user portal (for Windows 7 RTM x64), and ran it as Administrator.   It connects to my ASG and gives me an IP address from the VPN Pool (SSL), but it doesn't tunnel my network traffic through the VPN connection (for example, my external IP address does not change, like it used to when it was working properly).  The Astaro client shows that it connects properly and everything looks like it's working, but nothing actually happens with the network traffic.

I checked the network addresses and subnet masks of all other VPN Pools (Cisco, IPSec, L2TP, and PPTP) and they are all properly subnetted into non-conflicting and separate networks. (With a /24 subnet mask)

Under Network Security --> NAT, Masquerading, there is a rule to allow VPN Pool (SSL) -> External (WAN).  I have not changed any configuration settings--I have only upgraded to 7.500.

When I view the live SSL VPN log, it shows everything connecting properly and doesn't show any errors.  The last line shows "Peer Connection Initiated with x.x.x.x"

Could it be that my campus is blocking SSL VPN connections somehow?  If I understand correctly, they would have to block port 443 (which my ASG is configured to use for SSL VPN connections), which would also disallow secure connections to web sites, etc.

The problem exhibits itself on both Windows (with the Astaro/OpenVPN client) and Mac OS X using (using Tunnelblick).  I had the VPN working properly with Windows 7 RTM x64 before the upgrade to ASG 7.500.

Any suggestions would be greatly appreciated.


This thread was automatically locked due to age.
Parents
  • 0
    Follow-up: the trick with the "lower" and "upper" Internet-networks is not working either. ASG seems to have a problem with the "lower half" definition (strange: not with the "upper" half definition"!).

    But I found a workaround:

    edit /var/chroot-openvpn/etc/openvpn/openvpn.conf-default

    directly under  the line
    []

    insert the line:
    push "route 0.0.0.0 0.0.0.0"

    then change something in the openvpn config (in Webadmin) and press Apply to enforce the new config file is beeing created.
    Then connec to to the ASG with the SSL VPN client.
    You will get assigned (pushed) the ASG as new default gateway .

    Don´t forget to remove  this dirtly hack after Astaro has published a fix!!  Support may be voided!
  • 0 in reply to Ölm
    Ölm,

    Thanks for your replies to this post!  I just tried to add push "route 0.0.0.0 0.0.0.0" under the [] section in /var/chroot-openvpn/etc/openvpn/openvpn.conf-default, and unfortunately, I am still not getting a default gateway pushed to my client.  I guess at this point all I can do is wait for Astaro to fix the bug, as I am a little reluctant to downgrade OpenVPN, but I might have to.

    Thanks again for everyone's replies to this thread.  Is there any word on when the new version will be here with the fix?  If anyone else has any workarounds in the meantime, please post!
Reply
  • 0 in reply to Ölm
    Ölm,

    Thanks for your replies to this post!  I just tried to add push "route 0.0.0.0 0.0.0.0" under the [] section in /var/chroot-openvpn/etc/openvpn/openvpn.conf-default, and unfortunately, I am still not getting a default gateway pushed to my client.  I guess at this point all I can do is wait for Astaro to fix the bug, as I am a little reluctant to downgrade OpenVPN, but I might have to.

    Thanks again for everyone's replies to this thread.  Is there any word on when the new version will be here with the fix?  If anyone else has any workarounds in the meantime, please post!
Children
  • 0 in reply to bhall7
    Well I know for a fact that the older openvpn client is working cause that is what I am running at home on Vista64 although I do need to run it as Administrator.

    I am not sure if I want to deploy split tunneling as I like the idea that when one of my users is on a wifi spot that their entire connection is encrypted even for stuff like normal web browsing. Most of my users are still on XP and working fine on the Astaro 1.3 openvpn client.  I only have 2 users I need to worry about that are on Vista and only one of them as the latest 1.5 client.  So I think I am going to hold off on the split tunneling and just give the one user the old client and make sure to show him he has to use run it as Admin.

    In regards to when the new client will be available...no idea. Sorry.

    -Scott
  • 0 in reply to ScottL
    Thanks Scott,

    I'm glad to know that the older client seems to be working for you.  The split tunneling technique didn't make any sense to me, so I think I'm going to hold off.  Is it a bug in OpenVPN or in the Astaro implementation of OpenVPN?

    I'll stay tuned!  Thanks again for your helpful and informative post.
  • 0 in reply to bhall7
    Is it a bug in OpenVPN or in the Astaro implementation of OpenVPN?


    If it really works with the old client but not the new one, then it´s pretty sure a bug in OpenVPn and not in the Astaro SSL VPN CLient implementation.

    Besides changing some help texts, menu item descriptions and the graphical logo (i.e. "branding" the OpenVPN client), Astaro does not change much from the "original" client. From what I know, no binaries/code are changed/replaced. This is the reason why you can use the "original" OpenVPN client without problems to connect to a  Astaro. Nothing proprietary was implemented from Astaro side.
    So if the client is the problem, pretty sure its a bug that also the "original" OpenVPN client has.
  • 0 in reply to Ölm
    Well I tried the client they recommended. It works fine for me on XP and routes successfully, but it still does NOT work for me at all on a fresh install of Vista(32bit)(even ran as Administrator).

    When I get home from work I will see what version of OpenVPN I am running at home (on Vista64bit) because that works. The only thing I did different at home is that I orignally installed the Astaro 1.3 client and when that did not orginally work(this was last year) I also installed whatever 2.x version of OpenVPN  was the latest at the time.  So basically I have both on the box. So I am not sure what to make of all this.

    I did take the internet 0.0.0.0/0 definition out of the list to try and use split tunneling and I can report that it DOES work succesfully. I just dont feel comfortable running split tunnel @ the moment.

    -Scott
  • 0 in reply to ScottL
    Well this is interesting. I brought this Sprint Data Card home with me the one I had been testing with and it looks like I can duplicate the problem on my home PC also. If I run the the OpenVPN client(2.1_rc4) on my PC with my normal broadband connection the VPN connection works fine. So apparently part of my problem is with the Sprint usb Data card and possibly the VPN client.


    I guess I'll be digging into this a little more as this had been working fine for the past year or so.  

    -Scott
  • 0 in reply to ScottL
    hmm... I've been having trouble with my Sprint card too, but not with 7.501...
    Using Linux OpenVPN, my 7.501 SSL VPN works, but connecting to my friend's 7.405 Astaro hasn't been working (connects, but can't ping the firewall or anything else).

    I haven't dug into it too deeply yet.

    Barry
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML