Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 5939 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN assigns wrong gateway

ESR
Due to some network reconfiguration I changed the IP address of my firewall today (from 192.168.2.100 to 192.168.1.1). I have been able to get everything up and running with one exception, my ssl vpn.

I have went through all of the setting to make sure I have everything correct, it seems as though I am missing something.

I have regenerated the ssl vpn conf file and ran it on my computer, it will connect but I can't ping or access any thing inside my network. When I open up the log from the remote computer side it show as setting the gateway as 192.168.1.2 instead of 192.168.1.1.

I did have this working before without issue and the only thing I have changed in the firewall was the necessary IP addresses.

I greatly appreciate and advice,


Eric


This thread was automatically locked due to age.
  • 0
    A little more information, I took this from log:

    Sat Mar 17 00:11:03 2012 PUSH: Received control message: 'PUSH_REPLY,route remote_host 255.255.255.255 net_gateway,redirect-gateway def1,dhcp-option DNS 192.168.1.1,dhcp-option WINS 192.168.1.10,dhcp-option DOMAIN MYDOMAIN,route 10.242.2.1,topology net30,ping 10,ping-restart 120,ifconfig 10.242.2.6 10.242.2.5'
    Sat Mar 17 00:11:03 2012 OPTIONS IMPORT: timers and/or timeouts modified
    Sat Mar 17 00:11:03 2012 OPTIONS IMPORT: --ifconfig/up options modified
    Sat Mar 17 00:11:03 2012 OPTIONS IMPORT: route options modified
    Sat Mar 17 00:11:03 2012 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
    Sat Mar 17 00:11:03 2012 ROUTE default_gateway=192.168.1.2
  • 0
    I changed the IP address of my firewall today (from 192.168.2.100 to 192.168.1.1)

    Sat Mar 17 00:11:03 2012 ROUTE default_gateway=192.168.1.2 

    Is the client in the same subnet as the Astaro - 192.168.1.0/24?  That would explain the routing problems.

    Cheers - Bob
  • 0
    The client is using the factory ssl pool 10.242.x.x

    I'll attach a full log in case it helps.

    Thanks

    Eric


    Sat Mar 17 20:41:18 2012 OpenVPN 2.1.1 i686-pc-cygwin [SSL] [LZO2] built on May  7 2010
    Sat Mar 17 20:41:37 2012 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Sat Mar 17 20:41:37 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Sat Mar 17 20:41:38 2012 LZO compression initialized
    Sat Mar 17 20:41:38 2012 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
    Sat Mar 17 20:42:07 2012 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
    Sat Mar 17 20:42:07 2012 Local Options hash (VER=V4): '30b70586'
    Sat Mar 17 20:42:07 2012 Expected Remote Options hash (VER=V4): '28786345'
    Sat Mar 17 20:42:07 2012 Attempting to establish TCP connection with ***.***.***.***:443
    Sat Mar 17 20:42:07 2012 TCP connection established with ***.***.***.***:443
    Sat Mar 17 20:42:07 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Sat Mar 17 20:42:07 2012 TCPv4_CLIENT link local: [undef]
    Sat Mar 17 20:42:07 2012 TCPv4_CLIENT link remote: 74.38.242.97:443
    Sat Mar 17 20:42:07 2012 TLS: Initial packet from 74.38.242.97:443, sid=b89c918b 92ef4bd3
    Sat Mar 17 20:42:07 2012 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Sat Mar 17 20:42:07 2012 VERIFY OK: depth=1, /C=us/L=Crossville/O=My_ID/CN=My_ID_VPN_CA/emailAddress=me@myemail.com
    Sat Mar 17 20:42:08 2012 VERIFY X509NAME OK: /C=us/L=Mytown/O=My_ID/CN=MY DNS/emailAddress=me@myemail.com
    Sat Mar 17 20:42:08 2012 VERIFY OK: depth=0, /C=us/L=Crossville/O=My_ID/CN=MYDNS/emailAddress=me@myemail.com
    Sat Mar 17 20:42:10 2012 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    Sat Mar 17 20:42:10 2012 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    Sat Mar 17 20:42:10 2012 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    Sat Mar 17 20:42:10 2012 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    Sat Mar 17 20:42:10 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    Sat Mar 17 20:42:10 2012 [MY DNS] Peer Connection Initiated with 74.38.242.97:443
    Sat Mar 17 20:42:12 2012 SENT CONTROL [MY DNS]: 'PUSH_REQUEST' (status=1)
    Sat Mar 17 20:42:12 2012 PUSH: Received control message: 'PUSH_REPLY,route remote_host 255.255.255.255 net_gateway,redirect-gateway def1,dhcp-option DNS 192.168.1.1,dhcp-option WINS 192.168.1.10,dhcp-option MY DOMAIN,route 10.242.2.1,topology net30,ping 10,ping-restart 120,ifconfig 10.242.2.6 10.242.2.5'
    Sat Mar 17 20:42:12 2012 OPTIONS IMPORT: timers and/or timeouts modified
    Sat Mar 17 20:42:12 2012 OPTIONS IMPORT: --ifconfig/up options modified
    Sat Mar 17 20:42:12 2012 OPTIONS IMPORT: route options modified
    Sat Mar 17 20:42:12 2012 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
    Sat Mar 17 20:42:13 2012 ROUTE default_gateway=192.168.1.2
    Sat Mar 17 20:42:13 2012 TAP-WIN32 device [Local Area Connection 4] opened: \.\Global\{53597515-EE38-4DC8-8AC9-95B0E7D2CC95}.tap
    Sat Mar 17 20:42:13 2012 TAP-Win32 Driver Version 9.6 
    Sat Mar 17 20:42:13 2012 TAP-Win32 MTU=1500
    Sat Mar 17 20:42:13 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.242.2.6/255.255.255.252 on interface {53597515-EE38-4DC8-8AC9-95B0E7D2CC95} [DHCP-serv: 10.242.2.5, lease-time: 31536000]
    Sat Mar 17 20:42:13 2012 Successful ARP Flush on interface [5] {53597515-EE38-4DC8-8AC9-95B0E7D2CC95}
    Sat Mar 17 20:42:17 2012 TEST ROUTES: 3/3 succeeded len=2 ret=1 a=0 u/d=up
    Sat Mar 17 20:42:17 2012 C:\WINDOWS\system32\route.exe ADD 74.38.242.97 MASK 255.255.255.255 192.168.1.2
    Sat Mar 17 20:42:17 2012 Route addition via IPAPI succeeded [adaptive]
    Sat Mar 17 20:42:17 2012 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 10.242.2.5
    Sat Mar 17 20:42:17 2012 Route addition via IPAPI succeeded [adaptive]
    Sat Mar 17 20:42:17 2012 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 10.242.2.5
    Sat Mar 17 20:42:17 2012 Route addition via IPAPI succeeded [adaptive]
    Sat Mar 17 20:42:17 2012 C:\WINDOWS\system32\route.exe ADD ***.***.***.*** MASK 255.255.255.255 192.168.1.2
    Sat Mar 17 20:42:18 2012 Route addition via IPAPI succeeded [adaptive]
    Sat Mar 17 20:42:18 2012 C:\WINDOWS\system32\route.exe ADD 10.242.2.1 MASK 255.255.255.255 10.242.2.5
    Sat Mar 17 20:42:18 2012 Route addition via IPAPI succeeded [adaptive]
    Sat Mar 17 20:42:18 2012 Initialization Sequence Completed
  • 0
    Did you run the install as Administrator, and start the client as Administrator?

    Cheers - Bob
  • 0
    I did. It's on a XP machine. I tried it on a different laptop today with the same result, which makes me think it is something in the firewall. 
    Running ipconfig /all shows the gateway and dhcp server to be 10.242.2.5, I never really looked at it when it was working correctly so I don't know if that is to be expected or not, I suspect it is.  My assigned IP is 10.142.2.6.
  • 0
    On an XP machine, it doesn't need to be run as Administrator, but in 'Network Connections' 'Advanced' 'Advanced Settings', the SSL VPN adapter must be at the top.

    Cheers - Bob
  • 0
    It is. I have the vpn set up for all traffic to pass through, and that part is working fine.
    I can do an external ip check when I am not logged in vs. when I am logged in and see the ip address change. So I know part of it is working properly, it just doesn't want to let me access any resources on the network.

    I have went through and made sure that the local network was available for the ssl vpn also.
  • 0
    I just realized that you didn't answer my first question, so I'll ask it in a different way - is 192.168.1.0/24 the subnet both where the client is and the "Internal (Network)" of the Astaro?

    Cheers - Bob
  • 0
    Bob,

    I misunderstood your question. Thanks for helping me knock the cobwebs loose. You were correct and that is the problem. It looks like there will be another IP addressing change in my near future.

    Thanks for your help,

    Eric