Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 9762 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN clients cannot access Site-to-Site server

screamingpotato
We can access it from within the LAN, but when I connect via VPN with my test laptop the name resolves to the correct IP address but there's no reply to ping requests. From what I understand this worked previously, but I'm not sure how long it's been broken. I'm new to Astaro so reluctant to go in and start changing things on a whim, hoping for some guidance as to where I need to look for a problem such as this as I don't want to make it worse.


This thread was automatically locked due to age.
  • 0
    Google:
    site:astaro.org ping

    Cheers - Bob
  • 0 in reply to BAlfson
    Google:
    site:astaro.org ping

    Cheers - Bob


    Lots of links to threads here that I've already read. Am I supposed to be looking for something specific? Pings work fine from my LAN out to our site-to-site, but when connected from remote computer to the Astaro via L2TP or SSL VPN client the pings timeout.
    EDIT: My VPN clients can ping/access internal servers no problems, by name and IP.
  • 0
    Sorry, I was only trying to help you learn how to find answers here.  The first link I found with that was a list of threads with ping as a keyword.  The first thread in that list had two suggestions:

    1. Does the device you're trying to ping have the Astaro as its default gateway?

    2. Do you have the correct ping settings on the 'ICMP' tab of 'Packet Filter'?



    If that's not it, is there anything in the packet filter log?  What version of Astaro?  Which Remote Access method and which client?  What OS on the laptop?  How does a site-to-site figure into this?

    Cheers - Bob
  • 0 in reply to BAlfson
    Sorry, I was only trying to help you learn how to find answers here.  The first link I found with that was a list of threads with ping as a keyword.  The first thread in that list had two suggestions:

    1. Does the device you're trying to ping have the Astaro as its default gateway?

    2. Do you have the correct ping settings on the 'ICMP' tab of 'Packet Filter'?



    If that's not it, is there anything in the packet filter log?  What version of Astaro?  Which Remote Access method and which client?  What OS on the laptop?  How does a site-to-site figure into this?

    Cheers - Bob


    1) I cannot answer this as I did not setup the VPN and the connection terminates at another company. I can say that it works fine from our computers that are connected on the LAN behind the firewall, only my clients that VPN to my network have trouble reaching the other. 

    2) Screenshots of the ICMP tab attached. 

    Astaro is a 220 appliance and it's running 7.5.01 

    Watching the Packet Filter livelog I don't see any entries at all relating to my ping IP address or my VPN client that's connected. 

    Remote access method is SSL and it has the same results with both Astaro client and SecurePoint client. Also VPN historically has been setup with L2TP connections and this worked, however I tested L2TP and it also cannot ping the remote host (though all local LAN is accessible). 

    Laptop is running Windows XP sp3. 

    Site-to-Site factors in as it's the only host that's not reachable to my VPN clients. We have to access a machine over the site-to-site VPN connection, which works as normal to our local clients behind the Astaro but when my users VPN into my network their laptops cannot connect to that host. 

    I hope all is clear I explained the best I can. I recently took over IT operations here and all this has been setup previously but nobody can explain anything so I'm having to discover the entire topology and document everything from scratch. I've had zero exposure to Astaro appliances in the past so having to learn this on top of everything else. 

  • 0
    Have you added the client VPN Pools to the local networks section for your Site-to-site?  This combined with checking the automatic packet filter rules might just solve your issue.

    If this doesn't work, the far side of the site-to-site may be blocking the traffic because your client VPNs are on a different subnet than your LAN.  If this is the case, we can try a MASQ rule for your VPN Pool ---> Your Internal Lan.
  • 0 in reply to Scott_Klassen
    Have you added the client VPN Pools to the local networks section for your Site-to-site?  This combined with checking the automatic packet filter rules might just solve your issue.

    If this doesn't work, the far side of the site-to-site may be blocking the traffic because your client VPNs are on a different subnet than your LAN.  If this is the case, we can try a MASQ rule for your VPN Pool ---> Your Internal Lan.


    I did, but it didn't work so I removed it along with some other changes. I'm going to do that again right now, apply it, and regenerate everything and reconnect again. 

    I tried a MASQ rule VPN Pool -> External which the "far side" should be seeing as our source, this is the way the existing L2TP was setup (which also does not work now, but did work at some point in the past, L2TP is/was not in local nets for s2s).

    EDIT: Tried both, no worky. Also tried masqing both external and internal with no results.
  • 0
    Masqing shouldn't be necessary.  Scott's prescription should work; I'm pretty sure your problem was that the other end of the site-to-site also needs to add the VPN Pool(s) to the tunnel.  Take a look at this KnowledgeBase article: Howto - Allow Remote Access Users to Reach Another Site via a Site-to-Site Tunnel 

    Cheers - Bob
  • 0
    I tried a MASQ rule VPN Pool -> External which the "far side" should be seeing as our source

    This definately won't work. The far side is seeing the source of the tunnel itself as being your external address, but not the source for traffic within the tunnel.
  • 0 in reply to Scott_Klassen
    Masqing shouldn't be necessary.  Scott's prescription should work; I'm pretty sure your problem was that the other end of the site-to-site also needs to add the VPN Pool(s) to the tunnel.  Take a look at this KnowledgeBase article: Howto - Allow Remote Access Users to Reach Another Site via a Site-to-Site Tunnel 

    Cheers - Bob


    I've confirmed with the remote site that they only have our internal LAN enabled to access their systems. They also stated that only one subnet per customer is allowed so they will not add my VPN pool to accept connections. This confuses me because I'm told that our L2TP VPN connections used to work without a problem, but now L2TP doesn't work nor my newly implemented SSL VPN. 

    I'll give that a thorough read through, thx. 

    This definately won't work. The far side is seeing the source of the tunnel itself as being your external address, but not the source for traffic within the tunnel.


    I tried Internal as well but still did not have any luck with that. I didn't figure it would helps, but the L2TP (which supposedly worked previously) was setup with a Masq for External so I just tried it for kicks.

    EDIT: See reply on next page for an update
  • 0 in reply to screamingpotato
    OK so I was just going through checking on settings and I see now that when I add the site-to-site tunnel to the local networks on the remote access\ssl\global tab it creates a new entry in my site-to-site IPSEC tunnels that's disabled, this new entry contains my VPN SSL Pool subnet. I never noticed this before. I'm assuming this should be enabled, lol, but I can't test it now because I gave all my aircards out to traveling users and they won't be back until Monday so I don't have a dirty line to test with. 

    Am I on the right track now? 

    Screenshot of the newly created entry that I never noticed was there: