Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 1846 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

No LAN in SSL VPN

stegman
SSL VPN connection works fine but the LAN cannot be reached.
I get error:The networkname cannot be found.
Also no reply on ping commands.
SSL setup:
Local Networks Internal 10.0.0.0/16 + VPN Pool 10.242.2.0/24
Automatic packet filter rules

Log:
Fri Jun 10 14:06:08 2011 OpenVPN 2.1.1 i686-pc-cygwin [SSL] [LZO2] built on May  7 2010
Fri Jun 10 14:06:20 2011 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
Fri Jun 10 14:06:20 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Jun 10 14:06:20 2011 LZO compression initialized
Fri Jun 10 14:06:20 2011 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
Fri Jun 10 14:06:20 2011 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
Fri Jun 10 14:06:20 2011 Local Options hash (VER=V4): '619078b2'
Fri Jun 10 14:06:20 2011 Expected Remote Options hash (VER=V4): 'a4f82474'
Fri Jun 10 14:06:20 2011 Attempting to establish TCP connection with 83.82.***.***:443
Fri Jun 10 14:06:22 2011 TCP connection established with 83.82.***.***:443
Fri Jun 10 14:06:22 2011 Socket Buffers: R=[8192->8192] S=[64512->64512]
Fri Jun 10 14:06:22 2011 TCPv4_CLIENT link local: [undef]
Fri Jun 10 14:06:22 2011 TCPv4_CLIENT link remote: 83.82.***.***:443
Fri Jun 10 14:06:22 2011 TLS: Initial packet from 83.82.***.***:443, sid=805a1002 677e1f23
Fri Jun 10 14:06:22 2011 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri Jun 10 14:06:24 2011 VERIFY OK: depth=1, /C=nl/=L******************************************************x
Fri Jun 10 14:06:24 2011 VERIFY X509NAME OK: /C=nl/L=******************************************************x
Fri Jun 10 14:06:24 2011 VERIFY OK: depth=0, /C=nl/L=************************************************x
Fri Jun 10 14:06:27 2011 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri Jun 10 14:06:27 2011 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
Fri Jun 10 14:06:27 2011 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Fri Jun 10 14:06:27 2011 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
Fri Jun 10 14:06:27 2011 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Jun 10 14:06:27 2011 [******************x] Peer Connection Initiated with 83.82.***.***:443
Fri Jun 10 14:06:29 2011 SENT CONTROL [******************x]: 'PUSH_REQUEST' (status=1)
Fri Jun 10 14:06:29 2011 PUSH: Received control message: 'PUSH_REPLY,route remote_host 255.255.255.255 net_gateway,route 10.242.2.0 255.255.255.0,route 10.242.2.1,topology net30,ping 10,ping-restart 120,ifconfig 10.242.2.6 10.242.2.5'
Fri Jun 10 14:06:29 2011 OPTIONS IMPORT: timers and/or timeouts modified
Fri Jun 10 14:06:29 2011 OPTIONS IMPORT: --ifconfig/up options modified
Fri Jun 10 14:06:29 2011 OPTIONS IMPORT: route options modified
Fri Jun 10 14:06:29 2011 ROUTE default_gateway=192.168.21.1
Fri Jun 10 14:06:29 2011 TAP-WIN32 device [Local Area Connection 3] opened: \.\Global\{A20888DF-1CBD-4A50-B77A-8BC8A4582FB4}.tap
Fri Jun 10 14:06:29 2011 TAP-Win32 Driver Version 9.6 
Fri Jun 10 14:06:29 2011 TAP-Win32 MTU=1500
Fri Jun 10 14:06:29 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.242.2.6/255.255.255.252 on interface {A20889DF-1CBD-4A50-B75A-8BC8A4582FB4} [DHCP-serv: 10.242.2.5, lease-time: 31536000]
Fri Jun 10 14:06:29 2011 Successful ARP Flush on interface [39] {A20883DF-1CBD-4A50-B75A-8BC8A4582FB4}
Fri Jun 10 14:06:34 2011 TEST ROUTES: 3/3 succeeded len=3 ret=1 a=0 u/d=up
Fri Jun 10 14:06:34 2011 C:\WINDOWS\system32\route.exe ADD 83.82.***.*** MASK 255.255.255.255 192.168.21.1
Fri Jun 10 14:06:34 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=40 and dwForwardType=4
Fri Jun 10 14:06:34 2011 Route addition via IPAPI succeeded [adaptive]
Fri Jun 10 14:06:34 2011 C:\WINDOWS\system32\route.exe ADD 10.242.2.0 MASK 255.255.255.0 10.242.2.5
Fri Jun 10 14:06:34 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Fri Jun 10 14:06:34 2011 Route addition via IPAPI succeeded [adaptive]
Fri Jun 10 14:06:34 2011 C:\WINDOWS\system32\route.exe ADD 10.242.2.1 MASK 255.255.255.255 10.242.2.5
Fri Jun 10 14:06:34 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Fri Jun 10 14:06:34 2011 Route addition via IPAPI succeeded [adaptive]
Fri Jun 10 14:06:34 2011 Initialization Sequence Completed
Fri Jun 10 14:15:35 2011 TCP/UDP: Closing socket
Fri Jun 10 14:15:35 2011 C:\WINDOWS\system32\route.exe DELETE 10.242.2.1 MASK 255.255.255.255 10.242.2.5
Fri Jun 10 14:15:35 2011 Route deletion via IPAPI succeeded [adaptive]
Fri Jun 10 14:15:35 2011 C:\WINDOWS\system32\route.exe DELETE 10.242.2.0 MASK 255.255.255.0 10.242.2.5
Fri Jun 10 14:15:35 2011 Route deletion via IPAPI succeeded [adaptive]
Fri Jun 10 14:15:35 2011 C:\WINDOWS\system32\route.exe DELETE 83.82.***.*** MASK 255.255.255.255 192.168.21.1
Fri Jun 10 14:15:35 2011 Route deletion via IPAPI succeeded [adaptive]
Fri Jun 10 14:15:35 2011 Closing TUN/TAP interface
Fri Jun 10 14:15:35 2011 SIGTERM[hard,] received, process exiting


This thread was automatically locked due to age.
Parents
  • 0
    What Astaro version?  Some early 8.x versions has VPN issues.

    There are quite a few things that could be the problem, so here's some things to check:

    If the client system is Vista or Win7, the logged on user must be an administrator or member of the local Network Configuration Operators Group AND the application (openvpn-gui.exe) must be run elevated.  There's a nice walkthrough of this at support.astaro.com.

    On the client, run route print and confirm that route and gateway information is being written correctly.  From the log, it looks like they are being written correctly, but if not, it's because of the above.

    When connected to the vpn, try to ping the IP address of the internal interface of your astaro.  Does this work?  

    Closely related, are you trying to access LAN resources and pinging to machines names or IPs.  If IPs work, but not machine names, then you need to add your VPN pool to the allowed network for DNS.

    By looking through some of your previous posts, I see that you've had issues in the past due to the hostname for your system not being an FQDN.  While in the SSL VPN configuration area of WebAdmin, if you click on the blue button in the upper right and read through the pages on SSL VPN you will see:

    Override Hostname: The value in the Override Hostname box is used as the target hostname for client VPN connections and is by default the hostname of the firewall. Only change the default if the system's regular hostname (or DynDNS hostname) cannot be reached under this name from the Internet.
    If your system is still configured to not have an internet accessible hostname, then you MUST enter an FQDN into the Override Hostname box.  After changing this, you should need to regenerate the VPN Certificate (WebAdmin>>Remote Access>>Certificate Management>>Advanced Tab) and then redownload and reapply the SSL VPN config files for each remote client from the User Portal.
Reply
  • 0
    What Astaro version?  Some early 8.x versions has VPN issues.

    There are quite a few things that could be the problem, so here's some things to check:

    If the client system is Vista or Win7, the logged on user must be an administrator or member of the local Network Configuration Operators Group AND the application (openvpn-gui.exe) must be run elevated.  There's a nice walkthrough of this at support.astaro.com.

    On the client, run route print and confirm that route and gateway information is being written correctly.  From the log, it looks like they are being written correctly, but if not, it's because of the above.

    When connected to the vpn, try to ping the IP address of the internal interface of your astaro.  Does this work?  

    Closely related, are you trying to access LAN resources and pinging to machines names or IPs.  If IPs work, but not machine names, then you need to add your VPN pool to the allowed network for DNS.

    By looking through some of your previous posts, I see that you've had issues in the past due to the hostname for your system not being an FQDN.  While in the SSL VPN configuration area of WebAdmin, if you click on the blue button in the upper right and read through the pages on SSL VPN you will see:

    Override Hostname: The value in the Override Hostname box is used as the target hostname for client VPN connections and is by default the hostname of the firewall. Only change the default if the system's regular hostname (or DynDNS hostname) cannot be reached under this name from the Internet.
    If your system is still configured to not have an internet accessible hostname, then you MUST enter an FQDN into the Override Hostname box.  After changing this, you should need to regenerate the VPN Certificate (WebAdmin>>Remote Access>>Certificate Management>>Advanced Tab) and then redownload and reapply the SSL VPN config files for each remote client from the User Portal.
Children
  • 0 in reply to Scott_Klassen
    Astaro version: 8.103
    OS: W7 32bit

    Added user to the local Network Configuration Operators
    Set openvpn-gui.exe to run elevated

    route print without VPN connection: (10.0.0.2 is the correct gateway) 
    ===========================================================================
    Interface List
     39...00 ff a2 08 88 df ......Astaro SSL VPN Adapter
     16...00 ff 65 c1 04 c9 ......Nortel VPN Adapter
     15...00 22 fa 9c cd 01 ......Microsoft Virtual WiFi Miniport Adapter
     14...00 24 7e 48 8d 88 ......Bluetooth Device (Personal Area Network)
     12...00 22 fa 9c cd 00 ......Intel(R) WiFi Link 5100 AGN
     11...00 24 81 5d 4d d5 ......Broadcom NetLink (TM) Gigabit Ethernet
      1...........................Software Loopback Interface 1
     36...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
     37...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
     20...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
     17...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
     21...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #4
     19...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #5
     44...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #6
    ===========================================================================

    IPv4 Route Table
    ===========================================================================
    Active Routes:
    Network Destination        Netmask          Gateway       Interface  Metric
              0.0.0.0          0.0.0.0         10.0.0.2        10.0.0.13     25
             10.0.0.0      255.255.0.0         On-link         10.0.0.13    281
            10.0.0.13  255.255.255.255         On-link         10.0.0.13    281
         10.0.255.255  255.255.255.255         On-link         10.0.0.13    281
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link         10.0.0.13    281
      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      255.255.255.255  255.255.255.255         On-link         10.0.0.13    281
    ===========================================================================
    Persistent Routes:
      None

    IPv6 Route Table
    ===========================================================================
    Active Routes:
     If Metric Network Destination      Gateway
     17     58 ::/0                     On-link
      1    306 ::1/128                  On-link
     17     58 2001::/32                On-link
     17    306 2001:0:5ef5:79fd:3406:a2c:f5ff:fff2/128
                                        On-link
     17    306 fe80::/64                On-link
     17    306 fe80::3406:a2c:f5ff:fff2/128
                                        On-link
      1    306 ff00::/8                 On-link
     17    306 ff00::/8                 On-link
    ===========================================================================
    Persistent Routes:
      None

    Downloaded config settings from userportal and installed them, just to be sure that i'm using the latest.

    I can PING the default gateway (10.0.0.2)
    Other IP also respond on PING
    Connecting to \nas\folder is not possible
    Connecting to \10.0.0.4\folder is possible

    Route print inside VPN session:
    ===========================================================================
    Interface List
     39...00 ff a2 08 88 df ......Astaro SSL VPN Adapter
     18...ce 08 e0 8a 62 71 ......Apple Mobile Device Ethernet
     16...00 ff 65 c1 04 c9 ......Nortel VPN Adapter
     15...00 22 fa 9c cd 01 ......Microsoft Virtual WiFi Miniport Adapter
     12...00 22 fa 9c cd 00 ......Intel(R) WiFi Link 5100 AGN
     11...00 24 81 5d 4d d5 ......Broadcom NetLink (TM) Gigabit Ethernet
      1...........................Software Loopback Interface 1
     36...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
     37...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
     20...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
     17...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
     21...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #4
     19...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #5
     44...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #6
    ===========================================================================

    IPv4 Route Table
    ===========================================================================
    Active Routes:
    Network Destination        Netmask          Gateway       Interface  Metric
              0.0.0.0          0.0.0.0     192.168.21.1     192.168.21.2     40
             10.0.0.0      255.255.0.0       10.242.2.5       10.242.2.6     30
           10.242.2.0    255.255.255.0       10.242.2.5       10.242.2.6     30
           10.242.2.1  255.255.255.255       10.242.2.5       10.242.2.6     30
           10.242.2.4  255.255.255.252         On-link        10.242.2.6    286
           10.242.2.6  255.255.255.255         On-link        10.242.2.6    286
           10.242.2.7  255.255.255.255         On-link        10.242.2.6    286
         83.82.41.129  255.255.255.255     192.168.21.1     192.168.21.2     40
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
         192.168.21.0    255.255.255.0         On-link      192.168.21.2    296
         192.168.21.2  255.255.255.255         On-link      192.168.21.2    296
       192.168.21.255  255.255.255.255         On-link      192.168.21.2    296
            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link        10.242.2.6    286
            224.0.0.0        240.0.0.0         On-link      192.168.21.2    296
      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      255.255.255.255  255.255.255.255         On-link        10.242.2.6    286
      255.255.255.255  255.255.255.255         On-link      192.168.21.2    296
    ===========================================================================
    Persistent Routes:
      None

    IPv6 Route Table
    ===========================================================================
    Active Routes:
     If Metric Network Destination      Gateway
     17     58 ::/0                     On-link
      1    306 ::1/128                  On-link
     17     58 2001::/32                On-link
     17    306 2001:0:5ef5:79fd:2412:3b99:4d1f:5adc/128
                                        On-link
     39    286 fe80::/64                On-link
     18    296 fe80::/64                On-link
     17    306 fe80::/64                On-link
     17    306 fe80::2412:3b99:4d1f:5adc/128
                                        On-link
     18    296 fe80::28a3[:D]96:422c:7c3c/128
                                        On-link
     39    286 fe80::f069:903c:8d79:a41b/128
                                        On-link
      1    306 ff00::/8                 On-link
     17    306 ff00::/8                 On-link
     39    286 ff00::/8                 On-link
     18    296 ff00::/8                 On-link
    ===========================================================================
    Persistent Routes:
      None

    I have added the VPN pool to the allowed network for DNS 

    The override hostname was already set and used in the VPN session.
    Regenerated the VPN Certificate

    Completely removed software, rebooted and downloaded complete package from UserPortal.
    Installed and set to run elevated.
    PING to machines work, but connecting on name still not......