Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 2950 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Access Static IP on Local Network

DaMaN841
Hey folks,

Interesting issue that I ran into. I'm currently using SSL-VPN, and when I'm VPN'd, I am able to access all of the IP Addresses that are part of the DHCP Server. However, I have two Access Points (DD-WRT) that are setup statically to the x.x.x.2 and x.x.x.3 IP's, and unfortunately the VPN-Pool cannot access those IP's. Initially I thought it was DD-WRT not allowing Remote IP's, but that doesn't seem to be the case anymore. I'm assuming the VPN-Pool doesn't have a route to anything outside the scope of the DHCP Server, and if that is the case, what can I do to give it access, vs. including the Access Points as part of the DHCP Server Pool.

Thanks,
Kyle


This thread was automatically locked due to age.
  • 0
    Kyle, are the access points assigning addresses in the subnet of the Astaro's "Internal (Network)" or ???  What do you have in 'Local networks' in the SSL VPN config?  Are you using 'Automatic packet filter rules'?  Are you using the standard "VPN Pool (SSL)" or did you change it?

    Cheers - Bob
  • 0 in reply to BAlfson
    The Internal (Network) is setup as x.x.x.0/24 - lets just use 192.168.1.0 for example. Gateway is naturally 192.168.1.1. The DHCP Server is 192.168.1.100-125. The two Access Points are 192.168.1.2 and 192.168.1.3, outside of the DHCP Server Range.

    The SSL VPN under Local Networks has the Internal (Network) added to it with Automatic Firewall rules. Under Settings, the Virtual IP pool was untouched and remains as VPN Pool (SSL).

    Hope this information helps.
  • 0
    That sounds perfect to me.  Whenever something seems strange, it never hurts to look in the Firewall and Intrusion Prevention logs.

    Cheers - Bob
  • 0
    Alright. I'll take another look. Maybe I should setup another machine statically. Perhaps I was too quick to assume it isn't a DD-WRT issue accepting traffic. Thanks for the advice. I'll report my findings.
  • 0
    Also, if you have created host definitions for the Access Points in Astaro, make certain that the interface configuration item is set to the default of > and not bound to Internal.  Binding host objexts to a specific interface can cause some weird blocks with few clues about what is going on.
  • 0
    Should this be the case for all hosts defined? DHCP reserved included?
  • 0
    Yes.  Here's a recent post about this.

    Cheers - Bob
  • 0
    See the thread at https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/28191 paying particular attention to the posts by da_merlin.  Binding hosts to interfaces creates something of a spoofing block for traffic from or to any other interface.  There will be nothing in any log that will specify the block was due to binding, just mystery drops that make no sense when correlated to firewall rules.
  • 0
    The More You Know /Star

    Thanks!
  • 0 in reply to DaMaN841
    It turns out the issue was DD-WRT from the start. I tinkered with a few options, saved and rebooted it a number of times, until finally I turned on the Web GUI Management, which allows one to connect from a remote IP to the Web Interface using port 8080. Strangely enough, it then started accepting my pings, which is something this *shouldn't* enable, so I turned the feature off, saved and rebooted the router once again, and pings were still accepted and I was able to connect while SSL-VPN'd via port 80.

    I'll chalk it up to a weird DD-WRT bug / behavior, but suffice it to say, this was NOT an Astaro issue whatsoever. Thanks for the help with the troubleshooting nonetheless.

    Cheers,
    Kyle