Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 3065 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Working SSL/OpenVPN, but ping isn't possible to some computers?

burn.rom.burn
Hello all, 

I have a strange problem and I don't see the reason why. 

I configured VPN for SSL (OpenVPN) in the ASG (v8.300) and downloaded the config & co for linux from the userportal to my Android phone (CM7 (2.37)). 
The setup works fine after testing a little bit with different SSL-Pools, TUN/TAP and ports. 
I can connect to the ASG, get an IP from my SSL-pool (10.242.6.0/24) and I can ping a lot of computers and servers in my internal (trusted) network (e.g.) 192.168.0.0/16. 
But there are some IPs I can't reach. No ping is possible. I tested also to restrict my local network in the SSL-VPN setup to only some of these servers which I can't ping, but it makes no difference. 
If I try to ping the IP of the phone, e.g. ping 10.242.6.10 from one of that servers the phone can't be pinged too. From a pingable server it is also possible to ping the phone. Makes sense, eh? [:)] 
Local firewalls of the servers are offline and you can ping them from every computer and the ASG in the internal network. All servers are in the same subnet 192.168.10.x . And murphy is a ***, because I can't ping only the servers I need for work, the ones with not so interesting services are pingable. 

A colleague of mine can use PPTP-VPN on his Android phone (because of his Kernel) and there it is possible to ping every IP in our internal network! So where is the difference? 

Before you ask: 
On ASG v8.300:
---
 Remote Access->SSL 

 User and Groups
 
 Local Network: Internal (Trusted) (Network)

 Interface: Any
 Protocol: TCP
 Port: 1194

 Pool Network: VPN Pool (SSL)
---
 Network Security->NAT

 Network: VPN Pool (SSL)
 Interface: External (WAN)
 Use address: >
---
 Network Security->Firewall

 Source: VPN Pool (SSL)
 Service: Any
 Destination: Internal (Trusted) (Network)
 Action: Allow
 Time Event: >

 Source: VPN Pool (SSL)
 Service: Web Surfing
 Destination: Any
 Action: Allow
 Time Event: >
---

Nearly the same settings are set for PPTP VPN!  


Is there anybody who can explain that weird ping characteristics to me? 
Thanks in advance.


This thread was automatically locked due to age.
  • 0
    Are you sure that the unpingable servers have the IP of your Astaro's "Internal (Address)" as Default Gateway?

    If so, is there anything related in the Firewall or Intrusion Prevention log?

    Cheers - Bob
  • 0 in reply to BAlfson
    Are you sure that the unpingable servers have the IP of your Astaro's "Internal (Address)" as Default Gateway?

    Uuuuh, good point and you are right!!! THANKS. 
    It's working if I change the gateway. 

    But we can't change every GW of the servers to the ASG [:(] Damn'...  

    My second thought was: Why is it working with PPTP? 
    But the PPTP pool is in the same subnet (192.168.40.16/29), that's why. 

    If I try this with the SSL pool it doesn't work. OpenVPN is using more than one IP - two for the tunnel and one for the gateway if I understand it right (which I don't [:D]).
    For example: I get IP 192.168.40.9, 192.168.40.13 as GW and 192.168.40.14 in my phone. .14 is the IP. But I can only ping the ASG and the IP of the logged in PPTP phone (e.g. 192.168.40.18). And I can ping the .14 from the ASG, but not from the internal network. 
    From my workstation I can only ping 192.168.40.9 ?! 
    I don't understand the routingtables and tunnel construction of OpenVPN in my phone, so it's maybe better to let the SSL pool have another subnet... 

    Any ideas how I can reach my servers without changing the gateway to ASG? 
    ...I can set a second GW in the server to ASG, but is this recommended?
  • 0
    The easy solution for the other servers is to put a gateway route in their DG that points to the Astaro.  To cover all VPN Pools, try '10.242.0.0/21 -> {Astaro IP}'.

    The PPTP Remote Access pool should be changed to something different that doesn't overlap with any other subnets visible to the Astaro.  You might not have any problems at present, but this can cause difficult-to-diagnose issues down the road.  Why not just change it back to the Astaro standard 10.242.1.0/24?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hello again. 
    The easy solution for the other servers is to put a gateway route in their DG that points to the Astaro. 

    DG means Default Gateway, right? Would you replace the actual gateway to the ASG or put it as first GW entry and leave the actual as additional entry? 
    To cover all VPN Pools, try '10.242.0.0/21 -> {Astaro IP}'.

    Aehm, where? [:)]

    The PPTP Remote Access pool should be changed to something different that doesn't overlap with any other subnets visible to the Astaro.  You might not have any problems at present, but this can cause difficult-to-diagnose issues down the road.  Why not just change it back to the Astaro standard 10.242.1.0/24?

    Yeah, you're right, it will be difficult to diagnose issues. 
    The reason for that is the possibility to be able to connect to every other machine in the internal network regardless of setting the GW of every machine to the ASG. 
    Besides we don't want to have every machine connected to the internet. Ok, this can be handled with a policy in Network Security->Firewall! 
    AND we have a limited number of licenses (50). So I don't know what happens if I put every machine (up to 170) I want to connect over VPN to the ASG in their gateway.
  • 0
    DG means Default Gateway, right? Would you replace the actual gateway to the ASG or put it as first GW entry and leave the actual as additional entry?

    This is the way to make one change and have it apply to every server.  The gateway route is not added to each server, it is added only to the device that is the default gateway for all the servers in the DMZ.  The route I suggest for that is: '10.242.0.0/21 -> {Astaro IP}'.

    AND we have a limited number of licenses (50). So I don't know what happens if I put every machine (up to 170) I want to connect over VPN to the ASG in their gateway.

    I'm not sure I understand that.  It seems that you have a complex environment.  You may need to increase your license count to 250 or change the way you have your network configured.  What subscriptions do you have?

    Cheers - Bob
  • 0 in reply to BAlfson
    This is the way to make one change and have it apply to every server.  The gateway route is not added to each server, it is added only to the device that is the default gateway for all the servers in the DMZ.  The route I suggest for that is: '10.242.0.0/21 -> {Astaro IP}'.

    Ah, ok. But that's the point with the lincenses. I have ~120 workstations and servers with the gateway 0.0.0.0 or another Ip which isn't in use because they don't need Internetaccess. 
    But sometimes I like to connect per remote to theses computers from home over my VPN connection. Or in this case over my phone. 
    From home it is no problem, because I use PPTP and the pool gives me a IP from my subnet, so it is irrelevant if the gateway on the computers are pointing to the ASG or nowhere. 

    I'm not sure I understand that.  It seems that you have a complex environment.  You may need to increase your license count to 250 or change the way you have your network configured.  What subscriptions do you have?

    I'm not sure I have a subscription... 
    Ok, in the Licensing Portal there is under subscritions: 
    Network Security, Web Security, Mail Security and Standard Support 

    All the 120 computers don't need internet access. I only need to reach them over VPN. 
    I thought the lincenses would only be needed for internet access, web- and mail-security. 
    Do I have to upgrade my licenses if I need to reach another computer from/over the ASG? 
    The alternative way would be to connect per VPN to one of the computers with ASG as gateway and to connect from this maschine per remote to the computers without ASG gateway. A remote session in a remote session. Not that usefull I think but possible...
  • 0
    After the clarification about reaching the servers only if they have the ASG as gateway installed, I have only one important server I can't reach. 
    Difference is that this server has two NICs installed. 
    One with e.g. 192.168.10.1 for the internal (trusted) network (/16 subnet) with the gateway of the ASG and the other with e.g. 192.169.0.10 for a /24 subnet and a gateway with 192.169.0.254. 

    If I connect my smartphone over OpenVPN I get the 10.242.6.6 from my SSL-pool and it is no problem two ping the server 192.168.10.10. Also I can ping my smartphone from this server. 
    Only the server with 192.168.10.1 I can't ping from the phone, also there is no ping from the server to the smartphone. The server-firewall isn't active. 
    So what do I miss here? Is there something I maybe have to add to the routetable on the server? (I don't understand everything of the subject "routing")
  • 0
    First, just a comment on your licenses.  It would take a little more research on your current environment, but I suspect that you should have 250-user Mail Security (based on the number of mail users), 250 User Network Security (based on the number of IPs behind the Astaro) and 50-User Web Security (based on the number of users needing web access).  Depending on the current load on your Astaro, the most cost-effective approach might be to replace the software subscriptions with an ASG 220 (unlimited users) with Full Guard.  Subscriptions for the 220 are similar to 100-User software subscriptions.  250-User subscriptions are comparable to those for the ASG 320.  Your reseller can advise you.

    One with e.g. 192.168.10.1 for the internal (trusted) network (/16 subnet) with the gateway of the ASG and the other with e.g. 192.169.0.10 for a /24 subnet and a gateway with 192.169.0.254.

    Those subnets overlap, so there's probably a routing problem on the server.

    Cheers - Bob
  • 0 in reply to BAlfson
    First, just a comment on your licenses. 
    ...
    Your reseller can advise you.

    Thanks, I will do that. 
    Those subnets overlap, so there's probably a routing problem on the server.
    Cheers - Bob

    Ok, time for me to go deeper whith the subject routing. [;)]