Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 39 replies
  • Subscribers 1 subscriber
  • Views 55433 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN client - can't ping internal network

ntomsheck
Hey guys,
I know this issue has been beaten to death, but in all the threads I've searched, there is either no resolution posted, or I have tried all of the tests/checks suggested.
Using a home user firewall license, 8.102

I've set the VPN client up for other clients, but can not seem to get it to work on my network.  The client laptop is on a 192.168.2.x network, using default VPN pool addresses.

The client connects, and I can ping the astaro gateway (10.0.0.1), but can not ping any of my servers (10.0.0.10+) or any other devices on my network.  Web servers are nix based, so it's not a windows firewall issue.

I've looked at the packet filter log, and it shows nothing related to the vpn. The remote access settings are correct from what I can tell - my username allowed, to internal networks (10.0.0.x).  No WINS, DNS settings are set correctly, but I can handle DNS issues once I figure out the more important issues.  Made sure the auto-packet filter rule box was checked, etc.

Thank you for reading through this


This thread was automatically locked due to age.
Parents
  • 0
    In V5, V6 & V7, I've not seen a failure to route to networks that are subnets of interface objects.  Do you mean manually-created routes, or the normal routing done as a part of the VPN?

    Cheers - Bob
Reply
  • 0
    In V5, V6 & V7, I've not seen a failure to route to networks that are subnets of interface objects.  Do you mean manually-created routes, or the normal routing done as a part of the VPN?

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Cryptochrome, I don't believe that the Astaro has an inability to assign proper routing, just that there's a misconfiguration.

    Scott, don't you think that the spoofing problem is because he has fixed a misconfiguration with something like a masq rule and is seeing an unintended consequence of that?

    Cheers - Bob


    In V5, V6 & V7, I've not seen a failure to route to networks that are subnets of interface objects.  Do you mean manually-created routes, or the normal routing done as a part of the VPN?

    Cheers - Bob


    What I mean is this:

    Internal Network: 10.10.1.0/24
    L2TP IP Pool: 10.242.2.0/24
    VPN configuration: add automatic packet filter rules

    Client connects to ASG, authenticates, gets IP address from the pool, for example 10.242.2.10. ASG assigns itself 10.242.2.1 (L2TP server address).

    Client can ping 10.242.2.1 (ASG L2TP server address). 

    Client can not ping or transmit any other traffic to 10.10.1.x.

    Checking client's routing table reveals there is no route for 10.10.1.0/24 in it's routing table. Hence it can not talk to that subnet.

    The same is true for PPTP.

    Only solution: Manually add route on the client. This is confirmed by Astaro support. Other solution is to use IP addresses from the local subnet (10.10.1.0/24) to assign to clients. You will have to turn off IP snooping protection, which - of course - is not an option at all.

    This effectively disables VPN access for any iOS device because you can't set routes on iOS.