Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1263 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-Site AND SSL VPN

DinoX
So the first post in this forum, I hope someone has encountered this problem before, Im starting to get thin-haired...

This is the scenario:
I have a Site-to Site VPN tunnel upp that is working.
My side of the tunnel has local network 172.24.0.0 /16
Remote side has 172.28.148.24/29

I can ping 172.28.148.30 from the firewall OK!

I have configured SSL-VPN for remote access and have a local scoop of 172.24.0.128/25. My client gets authenticated ok with an IP-adress of 172.24.0.134.

I can ping 172.28.148.30 from the SSLVPN-client OK! So routing works.

Here is the problem:
I cant surf the website on 172.28.148.30 and I get this in the packet filter logg:
Default DROP TCP 172.24.0.134 : 64766 → 172.28.148.30 : 80 
 [SYN] len=52 ttl=127 tos=0x00 srcmac=00:1a:8c:15:7e:89 dstmac=00:00:00:00:00:00

I have created packet filter rules that allow all traffic from 172.24.0.128/25 to 172.28.148.24/29 and vice versa.

Anybody, any clues?

Thanks in advance / DinoX


This thread was automatically locked due to age.
Parents
  • 0
    I's not necessary to run the HTTP proxy.  There is additional information in the PF log, as compared to the live PF log.

    The "Full transparent" mode should not be used if you are proxying private IP addresses such as those in the subnets you mention - that is, uness no access is allowed to outside (public) IPs.  "Transparent" would seem to be the correct choice.

    It's not clear from your first post - where is the client?  If the client is on one side of the site-to-site tunnel and the webserver is on the other, then there should be no need for SSL Remote Access.  It's also not clear if you have one Astaro or two - what is on each side of the site-to-site?

    Cheers - Bob
  • 0 in reply to BAlfson
    Ok, thanks for input.

    The client is on a remote network (internet) and uses Astaro SSL-VPN client to connect to an ASG220 and gets ip 172.24.0.134 via the SSL-VPN client.

    The ASG220 has a site-to-site VPN to 172.28.148.24/29 (another firewall). On the remote side there is a webserver on adress 172.28.148.30. This server I cant ping from the SSL-VPN client but when I try to browse it (port 80) it gets blocked in the ASG220.
Reply
  • 0 in reply to BAlfson
    Ok, thanks for input.

    The client is on a remote network (internet) and uses Astaro SSL-VPN client to connect to an ASG220 and gets ip 172.24.0.134 via the SSL-VPN client.

    The ASG220 has a site-to-site VPN to 172.28.148.24/29 (another firewall). On the remote side there is a webserver on adress 172.28.148.30. This server I cant ping from the SSL-VPN client but when I try to browse it (port 80) it gets blocked in the ASG220.
Children
No Data