Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 39 replies
  • Subscribers 1 subscriber
  • Views 55432 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN client - can't ping internal network

ntomsheck
Hey guys,
I know this issue has been beaten to death, but in all the threads I've searched, there is either no resolution posted, or I have tried all of the tests/checks suggested.
Using a home user firewall license, 8.102

I've set the VPN client up for other clients, but can not seem to get it to work on my network.  The client laptop is on a 192.168.2.x network, using default VPN pool addresses.

The client connects, and I can ping the astaro gateway (10.0.0.1), but can not ping any of my servers (10.0.0.10+) or any other devices on my network.  Web servers are nix based, so it's not a windows firewall issue.

I've looked at the packet filter log, and it shows nothing related to the vpn. The remote access settings are correct from what I can tell - my username allowed, to internal networks (10.0.0.x).  No WINS, DNS settings are set correctly, but I can handle DNS issues once I figure out the more important issues.  Made sure the auto-packet filter rule box was checked, etc.

Thank you for reading through this


This thread was automatically locked due to age.
  • 0 in reply to BAlfson


    Binding a network definition to a specific, physical interface can cause random routing problems with NAT and VPNs.  I have confirmed that with my own clients and with several issues reported here over the last few years, but I can't explain why it occurs.  One client had your problem in December 2009, and I solved it by switching the VPN Pool definition back to bind to >, which is the default.

    Cheers - Bob


    See... that's the thing. I haven't touched those definitions. I am using the default VPN Pools that the ASG created.
  • 0
    ..just double checked: all definitions are bound to ANY.
  • 0
    OK, I read back over the thread. I see that you're on V8.2.  All bets are off for me and I wouldn't have responded with any thoughts had I realized that - I guess I must've read right past that in your first post. If anyone has any new problems after upgrading to V8.2, my suggestion is to download a backup or three, reload 8.103 and restore from your configuration backup. 

    Remember that reloading completely erases the hard drive so that all backups, reports and logs are lost, so you must copy off the backups if you aren't receiving them via email. 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0 in reply to BAlfson
    I've searched Forums and Google quite a time now.
    I've got similar Problems like the preposters.
    I've tested both. PPTP-VPN (win7) and SSL-VPN(Win7)

    I read about the Access-right issues Win7/Vista got. Tried both, with and w/o Admin privileges. It isn't working for SSL.
    My Network Details:
    Internal Network: 192.168.0.0
    ASG: 192.168.0.100
    SSL Pool: 192.168.2.0
    Asigned SSL Ip: 192.168.2.6
    PPTP-VPN Pool: 10.242.1.0/24

    I'm connecting to ASG either via my Samsung Mobile Phone (SGS1) Usb- Tethering or via my University's network (which only allows Port 80/443 and imap outbound) so PPTP wouldn't be working this way.

    SSL Connection get build up and lets me ping 192.168.2.1 (ASG on SSL side?) and 192.168.0.100. But that's it. No access to ASG's internal Webadmin UI, nor pinging or accessing any other machines inside (Webserver, Ftp Server, NAS-Gui...)
    Network Connection Details show a SSL Dhcp Server on 192.168.2.5 that isn't pingable too. Routes on win7 machine seam reasonable:
         Netzwerkziel(Target)    Netzwerkmaske(Netmask)          Gateway--------Schnittstelle(Interface)
          192.168.0.0---------255.255.255.0------------192.168.2.5------192.168.2.6
          192.168.2.1---------255.255.255.255----------192.168.2.5------192.168.2.6

    Routes on ASG:
    192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.100 
    192.168.2.0/24 via 192.168.2.2 dev tun0 
    192.168.2.2 dev tun0  proto kernel  scope link  src 192.168.2.1 
    local 192.168.2.1 dev tun0  table local  proto kernel  scope host  src 192.168.2.1 

    Automatic Firewall Rules are set.

    So what am I missing on this one? [;)]

    PPTP-VPN behaves similar: While using PPTP-Ip Pool, theres no route to my internal Network. I'm using a debian server as DHCP server, because of PXE reroute ASG is not able to do, so I tried some workaround and let PPTP asign Ips over my Debian DHCP. Since getting internal IP from my DHCP accessing network devices works for me.
    But I don't think it's ment that way (Security?) and the problem persists that I'm not able to connect to my Network from university.

    Any suggestions?
    Thanks in advance
    Skady
  • 0
    nor pingingPing is not controlled by the regular firewall rules.  This is set in WebAdmin at Network Security>>Firewall>>ICMP.

    No access to ASG's internal Webadmin UI
    Have you added the VPN Pool to the allowed network at Management>>WebAdmin Settings?

    192.168.2.1 (ASG on SSL side?)
    Yes, this is the tunnel endpoint on the ASG.

    with and w/o Admin privileges
    Just to make certain that you understand.  It is not enough to be logged into windows with an administrative account.  You must use "Run as admin.." and accept the UAC prompt.

    Does your university's network addressing conflict with the networks on your ASG (192.168.0.0 or 192.168.2.0)?
  • 0 in reply to Scott_Klassen
    Thanks for the fast reply [[;)]]
    Have you added the VPN Pool to the allowed network at Management>>WebAdmin Settings?


    Ah yea. Missed that. Works now of course for SSL and PPTP

    You must use "Run as admin.." 

    I'm used to the "Run as admin" procedure. I disabled the anoying notice on my machine so routes are set, as i linked above, as long as I'm killing the startup tray application which is obviously not started with admin privileges.
    SSL Connection Log show the successfully added routes, no errors.

    Does your university's network addressing conflict with the networks on your ASG (192.168.0.0 or 192.168.2.0)?

    Universitys network is something like 10.***.***.***, no interference with my LAN.

    Finally, I don't know what I've done or not done. The issue seams fixed... nearly. Pinging and accessing now works for nearly all IPs, both via SSL and PPTP. Only my Server Machine, running the DHCP and some other servers (ssh, ftp and so on) isn't reachable, neither ping nor access. It's located on the same ESXi4.1 als the ASG - Vm. I've read about it a while ago, but it always worked in LAN (192.168.0.0) in both directions ASG  Debian so i never spent a 2nd thought. Gonna google a bit [[;)]]
    Any advises in the meantime?
    Thanks for the Access restriction hint in webadmin management.
    Skady

    Edit: Shutdown ASG VM to fix NIC issue. On ESX it showed E1000, but ASG showed flexible nic. Reset NIC settings and after reboot the other VM was accessible. Strange thing though. Again, thanks for hints and advises.
  • 0
    Only my Server Machine, running the DHCP and some other servers (ssh, ftp and so on) isn't reachable

    1)  Just to confirm, In Remote Access>>SSL, do you have both the LAN and DMZ added to Local Networks?
    2)  Did you add any MASQ rule for the VPN Pool?
    3)  Does this server has a firewall installed on it that may be blocking traffic from another subnet?
    4)  Check the IPS and firewall logs.
  • 0 in reply to Scott_Klassen
    1) Just to confirm, In Remote Access>>SSL, do you have both the LAN and DMZ added to Local Networks?

    I just have LAN, no DMZ. So just the internal Network is added to the list of local Networks.
    Works fine now.

    2) Did you add any MASQ rule for the VPN Pool?

    No Masq. Should I? 

    3) Does this server has a firewall installed on it that may be blocking traffic from another subnet?

    Indeed. Thought about that yesterday evening and VPN got blocked by FW Rules. Fixed that.

    4) Check the IPS and firewall logs. 

    IPS is turned off because of system load. ESX Hardware is kinda old and I had to free some system ressources. Should be replaced this autum.

    I don't know exactly if it's the V-Nic showing wrong on ASG-VM or the additional FW rules, but finally it works for both, SSL and PPTP Connection. I'm glad this came to an end thanks to your help and hints. Thank you.
    Skady
  • 0
    No problem.  Glad that you're up and running.  [:)]