Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 963 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Unable to reach lan thorugh SSL vpn

andy.l
So I got the SSL vpn up and running on Windows 7 X64. Installed the client as administrator, and use "Run as administrator" when I start the client. I'm connection just fine, and all routes are enabled. In the SSL config on the ASG I use update rules automatically.
But when I try to connect to a fileserver the client computer tries to connect, but is unable to do it.
So I'm stuck. Is this an routing issue on the ASG? Currently running 8.101

/Andy.l


This thread was automatically locked due to age.
Parents
  • 0
    Hi

    yes this is sufficent.

    Can you post the log of the SSL Client?

    Has your remote network the same ip rang as your local network?
  • 0 in reply to r2k
    I have not the same IP on the internal lan and the VPN pool.
    Here is the log from the client. IP adresse for the wan connection is obfuscated:

    Fri Jan 28 23:09:13 2011 OpenVPN 2.1.1 i686-pc-cygwin [SSL] [LZO2] built on May  7 2010
    Fri Jan 28 23:09:23 2011 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Fri Jan 28 23:09:23 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Fri Jan 28 23:09:23 2011 LZO compression initialized
    Fri Jan 28 23:09:23 2011 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
    Fri Jan 28 23:09:23 2011 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
    Fri Jan 28 23:09:23 2011 Local Options hash (VER=V4): '619088b2'
    Fri Jan 28 23:09:23 2011 Expected Remote Options hash (VER=V4): 'a4f12474'
    Fri Jan 28 23:09:23 2011 Attempting to establish TCP connection with IP_OF_EXTERNAL_WAN:443
    Fri Jan 28 23:09:23 2011 TCP connection established with IP_OF_EXTERNAL_WAN:443
    Fri Jan 28 23:09:23 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Fri Jan 28 23:09:23 2011 TCPv4_CLIENT link local: [undef]
    Fri Jan 28 23:09:23 2011 TCPv4_CLIENT link remote: IP_OF_EXTERNAL_WAN:443
    Fri Jan 28 23:09:23 2011 TLS: Initial packet from IP_OF_EXTERNAL_WAN:443, sid=5d468635 547907b4
    Fri Jan 28 23:09:23 2011 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Fri Jan 28 23:09:24 2011 VERIFY OK: depth=1, /C=no/L=location/O=domain.net/CN=domain.net_VPN_CA/emailAddress=admin@domain.net
    Fri Jan 28 23:09:24 2011 VERIFY X509NAME OK: /C=no/L=location/O=domainc.net/CN=firewall.domain.net/emailAddress=admin@domain.net
    Fri Jan 28 23:09:24 2011 VERIFY OK: depth=0, /C=no/L=location/O=domain.net/CN=firewall.domain.net/emailAddress=admin@domain.net
    Fri Jan 28 23:09:25 2011 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    Fri Jan 28 23:09:25 2011 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    Fri Jan 28 23:09:25 2011 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    Fri Jan 28 23:09:25 2011 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    Fri Jan 28 23:09:25 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    Fri Jan 28 23:09:25 2011 [firewall.domainc.net] Peer Connection Initiated with IP_OF_EXTERNAL_WAN:443
    Fri Jan 28 23:09:27 2011 SENT CONTROL [firewall.domain.net]: 'PUSH_REQUEST' (status=1)
    Fri Jan 28 23:09:27 2011 PUSH: Received control message: 'PUSH_REPLY,route remote_host 255.255.255.255 net_gateway,route 192.168.75.0 255.255.255.0,dhcp-option DNS 192.168.75.254,dhcp-option DOMAIN domain.local,route 10.242.2.1,topology net30,ping 10,ping-restart 120,ifconfig 10.242.2.6 10.242.2.5'
    Fri Jan 28 23:09:27 2011 OPTIONS IMPORT: timers and/or timeouts modified
    Fri Jan 28 23:09:27 2011 OPTIONS IMPORT: --ifconfig/up options modified
    Fri Jan 28 23:09:27 2011 OPTIONS IMPORT: route options modified
    Fri Jan 28 23:09:27 2011 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
    Fri Jan 28 23:09:28 2011 ROUTE default_gateway=192.168.150.1
    Fri Jan 28 23:09:28 2011 TAP-WIN32 device [Local Area Connection 2] opened: \.\Global\{6A0A4477-AE48-4B58-A121-44F99F441AE0}.tap
    Fri Jan 28 23:09:28 2011 TAP-Win32 Driver Version 9.6 
    Fri Jan 28 23:09:28 2011 TAP-Win32 MTU=1500
    Fri Jan 28 23:09:28 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.242.2.6/255.255.255.252 on interface {6A0A4477-AE48-4B58-A121-44F99F441AE0} [DHCP-serv: 10.242.2.5, lease-time: 31536000]
    Fri Jan 28 23:09:28 2011 Successful ARP Flush on interface [44] {6A0A4477-AE48-4B58-A121-44F99F441AE0}
    Fri Jan 28 23:09:32 2011 TEST ROUTES: 3/3 succeeded len=3 ret=1 a=0 u/d=up
    Fri Jan 28 23:09:32 2011 C:\WINDOWS\system32\route.exe ADD IP_OF_EXTERNAL_WAN MASK 255.255.255.255 192.168.150.1
    Fri Jan 28 23:09:32 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=25 and dwForwardType=4
    Fri Jan 28 23:09:32 2011 Route addition via IPAPI succeeded [adaptive]
    Fri Jan 28 23:09:32 2011 C:\WINDOWS\system32\route.exe ADD 192.168.75.0 MASK 255.255.255.0 10.242.2.5
    Fri Jan 28 23:09:32 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
    Fri Jan 28 23:09:32 2011 Route addition via IPAPI succeeded [adaptive]
    Fri Jan 28 23:09:32 2011 C:\WINDOWS\system32\route.exe ADD 10.242.2.1 MASK 255.255.255.255 10.242.2.5
    Fri Jan 28 23:09:32 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
    Fri Jan 28 23:09:32 2011 Route addition via IPAPI succeeded [adaptive]
    Fri Jan 28 23:09:32 2011 Initialization Sequence Completed
    Fri Jan 28 23:12:30 2011 TCP/UDP: Closing socket
    Fri Jan 28 23:12:30 2011 C:\WINDOWS\system32\route.exe DELETE 10.242.2.1 MASK 255.255.255.255 10.242.2.5
    Fri Jan 28 23:12:30 2011 Route deletion via IPAPI succeeded [adaptive]
    Fri Jan 28 23:12:30 2011 C:\WINDOWS\system32\route.exe DELETE 192.168.75.0 MASK 255.255.255.0 10.242.2.5
    Fri Jan 28 23:12:30 2011 Route deletion via IPAPI succeeded [adaptive]
    Fri Jan 28 23:12:30 2011 C:\WINDOWS\system32\route.exe DELETE IP_OF_EXTERNAL_WAN MASK 255.255.255.255 192.168.150.1
    Fri Jan 28 23:12:30 2011 Route deletion via IPAPI succeeded [adaptive]
    Fri Jan 28 23:12:30 2011 Closing TUN/TAP interface
    Fri Jan 28 23:12:30 2011 SIGTERM[hard,] received, process exiting

    /Andy
Reply
  • 0 in reply to r2k
    I have not the same IP on the internal lan and the VPN pool.
    Here is the log from the client. IP adresse for the wan connection is obfuscated:

    Fri Jan 28 23:09:13 2011 OpenVPN 2.1.1 i686-pc-cygwin [SSL] [LZO2] built on May  7 2010
    Fri Jan 28 23:09:23 2011 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Fri Jan 28 23:09:23 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Fri Jan 28 23:09:23 2011 LZO compression initialized
    Fri Jan 28 23:09:23 2011 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
    Fri Jan 28 23:09:23 2011 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
    Fri Jan 28 23:09:23 2011 Local Options hash (VER=V4): '619088b2'
    Fri Jan 28 23:09:23 2011 Expected Remote Options hash (VER=V4): 'a4f12474'
    Fri Jan 28 23:09:23 2011 Attempting to establish TCP connection with IP_OF_EXTERNAL_WAN:443
    Fri Jan 28 23:09:23 2011 TCP connection established with IP_OF_EXTERNAL_WAN:443
    Fri Jan 28 23:09:23 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Fri Jan 28 23:09:23 2011 TCPv4_CLIENT link local: [undef]
    Fri Jan 28 23:09:23 2011 TCPv4_CLIENT link remote: IP_OF_EXTERNAL_WAN:443
    Fri Jan 28 23:09:23 2011 TLS: Initial packet from IP_OF_EXTERNAL_WAN:443, sid=5d468635 547907b4
    Fri Jan 28 23:09:23 2011 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Fri Jan 28 23:09:24 2011 VERIFY OK: depth=1, /C=no/L=location/O=domain.net/CN=domain.net_VPN_CA/emailAddress=admin@domain.net
    Fri Jan 28 23:09:24 2011 VERIFY X509NAME OK: /C=no/L=location/O=domainc.net/CN=firewall.domain.net/emailAddress=admin@domain.net
    Fri Jan 28 23:09:24 2011 VERIFY OK: depth=0, /C=no/L=location/O=domain.net/CN=firewall.domain.net/emailAddress=admin@domain.net
    Fri Jan 28 23:09:25 2011 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    Fri Jan 28 23:09:25 2011 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    Fri Jan 28 23:09:25 2011 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
    Fri Jan 28 23:09:25 2011 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    Fri Jan 28 23:09:25 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    Fri Jan 28 23:09:25 2011 [firewall.domainc.net] Peer Connection Initiated with IP_OF_EXTERNAL_WAN:443
    Fri Jan 28 23:09:27 2011 SENT CONTROL [firewall.domain.net]: 'PUSH_REQUEST' (status=1)
    Fri Jan 28 23:09:27 2011 PUSH: Received control message: 'PUSH_REPLY,route remote_host 255.255.255.255 net_gateway,route 192.168.75.0 255.255.255.0,dhcp-option DNS 192.168.75.254,dhcp-option DOMAIN domain.local,route 10.242.2.1,topology net30,ping 10,ping-restart 120,ifconfig 10.242.2.6 10.242.2.5'
    Fri Jan 28 23:09:27 2011 OPTIONS IMPORT: timers and/or timeouts modified
    Fri Jan 28 23:09:27 2011 OPTIONS IMPORT: --ifconfig/up options modified
    Fri Jan 28 23:09:27 2011 OPTIONS IMPORT: route options modified
    Fri Jan 28 23:09:27 2011 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
    Fri Jan 28 23:09:28 2011 ROUTE default_gateway=192.168.150.1
    Fri Jan 28 23:09:28 2011 TAP-WIN32 device [Local Area Connection 2] opened: \.\Global\{6A0A4477-AE48-4B58-A121-44F99F441AE0}.tap
    Fri Jan 28 23:09:28 2011 TAP-Win32 Driver Version 9.6 
    Fri Jan 28 23:09:28 2011 TAP-Win32 MTU=1500
    Fri Jan 28 23:09:28 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.242.2.6/255.255.255.252 on interface {6A0A4477-AE48-4B58-A121-44F99F441AE0} [DHCP-serv: 10.242.2.5, lease-time: 31536000]
    Fri Jan 28 23:09:28 2011 Successful ARP Flush on interface [44] {6A0A4477-AE48-4B58-A121-44F99F441AE0}
    Fri Jan 28 23:09:32 2011 TEST ROUTES: 3/3 succeeded len=3 ret=1 a=0 u/d=up
    Fri Jan 28 23:09:32 2011 C:\WINDOWS\system32\route.exe ADD IP_OF_EXTERNAL_WAN MASK 255.255.255.255 192.168.150.1
    Fri Jan 28 23:09:32 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=25 and dwForwardType=4
    Fri Jan 28 23:09:32 2011 Route addition via IPAPI succeeded [adaptive]
    Fri Jan 28 23:09:32 2011 C:\WINDOWS\system32\route.exe ADD 192.168.75.0 MASK 255.255.255.0 10.242.2.5
    Fri Jan 28 23:09:32 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
    Fri Jan 28 23:09:32 2011 Route addition via IPAPI succeeded [adaptive]
    Fri Jan 28 23:09:32 2011 C:\WINDOWS\system32\route.exe ADD 10.242.2.1 MASK 255.255.255.255 10.242.2.5
    Fri Jan 28 23:09:32 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
    Fri Jan 28 23:09:32 2011 Route addition via IPAPI succeeded [adaptive]
    Fri Jan 28 23:09:32 2011 Initialization Sequence Completed
    Fri Jan 28 23:12:30 2011 TCP/UDP: Closing socket
    Fri Jan 28 23:12:30 2011 C:\WINDOWS\system32\route.exe DELETE 10.242.2.1 MASK 255.255.255.255 10.242.2.5
    Fri Jan 28 23:12:30 2011 Route deletion via IPAPI succeeded [adaptive]
    Fri Jan 28 23:12:30 2011 C:\WINDOWS\system32\route.exe DELETE 192.168.75.0 MASK 255.255.255.0 10.242.2.5
    Fri Jan 28 23:12:30 2011 Route deletion via IPAPI succeeded [adaptive]
    Fri Jan 28 23:12:30 2011 C:\WINDOWS\system32\route.exe DELETE IP_OF_EXTERNAL_WAN MASK 255.255.255.255 192.168.150.1
    Fri Jan 28 23:12:30 2011 Route deletion via IPAPI succeeded [adaptive]
    Fri Jan 28 23:12:30 2011 Closing TUN/TAP interface
    Fri Jan 28 23:12:30 2011 SIGTERM[hard,] received, process exiting

    /Andy
Children
No Data