Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 4282 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cannot route traffic through to LAN

hezzer515
Hi All

I am new to Astaro after working with Checkpoint in my last company. I am trying to work with SSL VPN but I am facing some difficulties which I am sure you can help with.

I can successfully authenticate using the client on port 444 and I recieve an IP address in the SSL VPN Pool. The issue is that there is no default gateway listed in the connection details for the VPN connection when issuing and ipconfig /all. It does correctly lease me the defined DNS & WINS servers.

I have checked and the routing table is populated with my internal LANs subnet via the interface of the SSL VPN, however it is not possible to reach any device hosted on the LAN side of the firewall.

Is there a simple configuration that I am missing in order to publish a gateway and therefore successfully route the traffic between subnets? Should I have created a virtual IP address on the firewall itself that is in the SSL VPN subnet?

Many thanks in advance.
Tony


This thread was automatically locked due to age.
  • 0
    1. Did you try a traceroute to a client in your LAN network? Can you identify the Astaro in one of the hops?

    2. Which default Gateway do your LAN clients use, do they use the Astaro as their default GW?

    3. Have you created a rule in the firewall that allows the SSL VPN users to reach your LAN clients?

    Greetings

    Schroeder
  • 0 in reply to Schroeder
    Hi Schroeder

    I can confirm that when I just connect and then simply try a tracert -d to a LAN host, the 1st hop is never even taken. 

    All LAN members are using the firewall as their default gateway so the return path should be fine.

    I have not created a rule since I have left the checkbox selected that permits SSL pool IP addresses to the LAN.

    I can successfully ping a LAN host if and only I delete the route entry for my LAN and recreate it. However the strange this is that the IP address is changing with each connection to the firewall. For example, I connect once and the DHCP server for the SSL clients is listed as 10.242.2.5, I then connect again and the DHCP server is 10.242.2.9. 

    I add the route manually as follows route add 192.168.x.x MASK 255.255.252.0 10.242.2.5 (or 9 if this is listed as DHCP server) and I get responses.

    What I want is the default gateway for the SSL client to be listed but this is not the case.
  • 0 in reply to hezzer515
    Hi Schroeder

    I think that I might have solved the problem, the issue looks to be that my Windows 7 machine was not permitting the route addition to be executed by the Open VPN application.

    I have changed the advanced properties of the application to run as administrator and the route addition is successfull.

    I will continue to trial it and update the thread.

    One other thing, the repsonse times are huge.... is it a known issue that using the SSL VPN configuration considerably affects the response times to my remote LAN?

    Cheers
    Tony
  • 0
    Tony, do you have the 'Remote Access >> Advanced' section completed?

    For your internal users, do you have DNS configured as suggested in: DNS Best Practice.

    Are you using Web Security?  If so, please show a picture of your SSL VPN 'Global' tab.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hey Bob

    I can confirm that I do have the configurable options configured for DNS & WINs and these are successfully listed upon successful connection.

    The DNS is configured so that the clients are using the internal DNS server on the domain. All other lookups configured on these internal DNS servers are pushed to the Astaro.

    I have attached the SSL Global tab to this post.

    Cheers
    Tony
  • 0
    You might glance at the DNS log to confirm, but it sounds like you're not getting name resolution from the root name servers which would cause slowness.

    The only other thought would be switching from TCP to UDP in the SSL settings.

    Cheers - Bob
  • 0
    I am having this problem as well. VPN client is on Win XP. No default gateway assigned on the Astaro SSL VPN adapter.

    On the Remote Access SSL screen, I have my internal net in local networks. I can ping ports on the Astaro gateway, but no connectivity to anything on the internal net.
  • 0 in reply to alehman
    Never mind. I was missing routes on the internal hosts.