Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 10157 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cannot access some sites through PPTP VPN Astaro

gnsec
Suddenly I can't browse sites that I used to be able to browse using pptp vpn when connected to vpn pptp astaro.  Why is that?  Is is the patterns that are updated from time to time that caused some sites not to open at all?  It is not showing Astaro Block page its just timing out.  If I disconnect from VPN I can browse these sites.  I have proper masquerading rules setup, proper nat packet filter rules, I have the vpn pool allowed to use DNS.  Strange this is these sites are accessible behind the firewall but not through VPN.  The VPN pool is setup to bypass the http proxy and blocks, so again these sites always worked, not not anymore.  What is the problem.


This thread was automatically locked due to age.
  • 0
    VPN clients are getting two DNS servers pushed by the astaro, primary DNS is the internal DNS running on Win2008R2, and the secondary DNS being google 8.8.8.8  The websites thats are blocked are:  thepiratebay.org, some banking sites.  I even tried primary and secondary for google to be 8.8.8.8 8.8.4.4 then still I can't browse these sites.  When accessing these sites, I sit and watch the pptp live log, it shows lost or inordered packets error that I mentioned earlier in this thread.  So what I did was, I enabled SSL VPN now, and that works much better, because these sites work just fine.  So it looks like it is the PPTP VPN that has a bug.  By the way I have the same rules for SSL like for PPTP, all ports open, all destinations allowed.  So why can't we open these sites with PPTP?
  • 0
    Sounds like a bug with PPTP to me now.
  • 0
    That might be the problem, why are the VPN clients getting an internal DNS server handed to them? (This is why I hate forums, lol, it takes forever to drill down in to outlined issues =P  )

    Is the internal DNS pointed at the ASG as its gateway? 
    I'm confused on what DNS is really being used. It looks like we have either used or tested a local server, the gateway and external servers all at the same time. Which is really being used?
    Is it possible for you to configure the internal server to use the gateway as its DNS server and have the VPN clients do the same?
    Is AD being used on the Win2k8 box?

    I have setup PPTP/SSL-VPN/IPSEC/Etc at many different locations using many different setups, and if there has been an issue it's more often than not been DNS. I'm NOT saying that's what is going on here, but it sure seems like it.
  • 0
    (This is why I hate forums, lol, it takes forever to drill down in to outlined issues =P )

     
    Well, if speed was of the essence and it was a user with paid subscription licenses and support, he could just start a ticket with his reseller or Astaro support and get the problem resolved in hours instead of weeks.  [:)]
     

    I have setup PPTP/SSL-VPN/IPSEC/Etc at many different locations using many different setups, and if there has been an issue it's more often than not been DNS. I'm NOT saying that's what is going on here, but it sure seems like it. 

     
    I'm taking into account that resolution works fine for clients using a different VPN method, SSLVPN.
     
    I just reviewed back and there is one bit of important information that appears to be missing, unless I'm not seeing it.  You've talked about XP, Vista, and Mac clients, but always using PPTP VPN.  Can internal LAN clients "behind" the Astaro get to these sites?
  • 0 in reply to Scott_Klassen
    You need to turn on MSSfixup.

    The sites you can't access have screwed up firewalls.   You can either get them to fix it, or turn on MSSfixup.

    What is wrong is that the tunnel lowers your MTU.  Web sites with stupid firewalls do not receive the ICMP packet that informs them of the correct MTU.  Result: No loading.

    This solution only fixes TCP connections, so UDP and other protocol types (VPNs) will still be broken.  Full solution is to get the other site to fix their firewall by not blocking all ICMP.  Another work around that will work in some cases is to lower the MTU on the Ethernet adapter of your client machines to something equal or lower than the MTU value that results from the tunnel.
  • 0
    We are experiencing a similar issue with ASG V8.    Users connected to the VPN via PPTP are unable to access many websites, that are otherwise accessible to the rest of the world.  We have confirmed this is not a DNS issue, the nameservers are being assigned properly, lookups are happening, and the websites are even unaccessible when attempting to connect directly to their IP address.

    Here are some sites that do not work:

    Shopping Cart Software and Ecommerce Software by Volusion Ecommerce Solution
    Alertra Website Monitoring Service
    Dell's Official Premier Login Page - Sign In | Dell


    All fingers seem to point to this being some kind of packet filtering issue;   however, we do not even have the Web Security module installed, and the IPS is turned off.   

    The explanation that OneWhoKnows provided makes sense, but we are unable to find the MSSfixup setting anywhere.   Has anyone else resolved this issue?    Or does anyone have any ideas?