Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 835 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL Remote Access but no Access to SiteToSite Hosts?

dkirk
Hello,

I am very new to Astaro so bear with me. My office has just swapped out a Cisco 1841 router to an ASG 220 for our main firewall and WOW!!, what a difference! we have now entered the 21st century! Anyway, we have 4 site-to-site VPN's configured and working fine and we have enabled remote access using the SSL client. Connecting remotely to the local LAN works great but if I try to access an intranet site across one of the site-to-site VPN's, it's a no go, the browser just spins. How do I go about accessing hosts/sites across our site-to-sites while connecting remotely via SSL client? Any help would be greatly appreciated.


This thread was automatically locked due to age.
  • 0
    Hi dkirk and welcome to the 21st century :-).

    Is the SSL VPN Pool  (default 10.242.2.0/24) configured in the Site2Site Tunnel (local networks in ipsec connection tab)?
    Is there a PacketFilter Rule that allows that traffic or is 'auto packet filter' checked in S2S an SSL VPN?

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Hello hallowach and thanks for the response.

    The VPN pool is not added to the local networks of the sitetosite... I'm guessing this will have to be added to both sides of the tunnel??

    Also, the "Auto packet filter" is checked for the sitetosite.
  • 0 in reply to dkirk
    It might be a route addition problem.
    I am having the same issue but I think it all stems from the routes not being added to the client config. I am looking into that as I want to be able to vpn to either side of a vpn tunnel i have configured but be able to got to either site from either vpn session.

    On windows 7 if the ssl client is not "run as administrator" it will fail to add the routes - otherwise look at status log to see what routes were added.
  • 0 in reply to Joe_Halleck
    Still working on a solution but when you add a network to the "local networks" section it will add a "push" command to push the routes to the connecting client - also if you do this when a client is connected the client gets forced off and reconnects and the new push is performed.

    For example:
    'PUSH_REPLY,route remote_host 255.255.255.255 net_gateway,route 172.18.x.x 255.255.0.0,route 66.***.xx.64 255.255.255.192,route 172.17.x.x 255.255.0.0,route 172.16.x.x 255.255.0.0

    What I still see is it looks like the packet filter is still blocking the path over the VPN tunnel...in this config above the 172.16.x.x is on the other side of the ssl vpn connection.
  • 0
    Hi dkirk,

    the VPN Pool must be added to th S2S Tunnel config on both sides of each tunnel - otherwise the pakets with the source adress of the SSL VPN Pool will not be forwarded.

    On the other hand (as Joe_Halleck already said) the SSL VPN Client has to have a route to the networks behind the S2S Tunnels. So you have to add these networks to the 'local networks' in SSL VPN config.

    Regards
    Manfred
  • 0 in reply to Hallowach2
    I finally have a working config.
    The trip up I had was both client SSL vpn configs on each ASG used the same 10.x networks for the client VPN which broke any routing for the Client VPN incoming connections.

    I was trying to config it so I could client VPN into any ASG and reach either side of the tunnel.

    In a nut shell...
    * Create your site to site vpn and make sure your include a unique SSL VPN network object that represents the network used on that ASG for vpn access on each side in the config. If you have vpn client configs on each side they can't be the on the same network...the default SSL VPN configs use the same networks. Use ACC - it makes the config real easy to build.

    * Be sure to include the remote networks in the client VPN allowed networks so the SSL VPN server can push the proper ROUTE commands to the client when clients connect.

    * If using Windows 7 and possibly Vista - make sure you run the Open VPN client "run as administrator" or the ADD ROUTES will fail to be added and no routing will work.