Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 5946 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN assigns wrong gateway

ESR
Due to some network reconfiguration I changed the IP address of my firewall today (from 192.168.2.100 to 192.168.1.1). I have been able to get everything up and running with one exception, my ssl vpn.

I have went through all of the setting to make sure I have everything correct, it seems as though I am missing something.

I have regenerated the ssl vpn conf file and ran it on my computer, it will connect but I can't ping or access any thing inside my network. When I open up the log from the remote computer side it show as setting the gateway as 192.168.1.2 instead of 192.168.1.1.

I did have this working before without issue and the only thing I have changed in the firewall was the necessary IP addresses.

I greatly appreciate and advice,


Eric


This thread was automatically locked due to age.
Parents
  • 0
    The client is using the factory ssl pool 10.242.x.x

    I'll attach a full log in case it helps.

    Thanks

    Eric


    Sat Mar 17 20:41:18 2012 OpenVPN 2.1.1 i686-pc-cygwin [SSL] [LZO2] built on May  7 2010
    Sat Mar 17 20:41:37 2012 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Sat Mar 17 20:41:37 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Sat Mar 17 20:41:38 2012 LZO compression initialized
    Sat Mar 17 20:41:38 2012 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
    Sat Mar 17 20:42:07 2012 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
    Sat Mar 17 20:42:07 2012 Local Options hash (VER=V4): '30b70586'
    Sat Mar 17 20:42:07 2012 Expected Remote Options hash (VER=V4): '28786345'
    Sat Mar 17 20:42:07 2012 Attempting to establish TCP connection with ***.***.***.***:443
    Sat Mar 17 20:42:07 2012 TCP connection established with ***.***.***.***:443
    Sat Mar 17 20:42:07 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Sat Mar 17 20:42:07 2012 TCPv4_CLIENT link local: [undef]
    Sat Mar 17 20:42:07 2012 TCPv4_CLIENT link remote: 74.38.242.97:443
    Sat Mar 17 20:42:07 2012 TLS: Initial packet from 74.38.242.97:443, sid=b89c918b 92ef4bd3
    Sat Mar 17 20:42:07 2012 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Sat Mar 17 20:42:07 2012 VERIFY OK: depth=1, /C=us/L=Crossville/O=My_ID/CN=My_ID_VPN_CA/emailAddress=me@myemail.com
    Sat Mar 17 20:42:08 2012 VERIFY X509NAME OK: /C=us/L=Mytown/O=My_ID/CN=MY DNS/emailAddress=me@myemail.com
    Sat Mar 17 20:42:08 2012 VERIFY OK: depth=0, /C=us/L=Crossville/O=My_ID/CN=MYDNS/emailAddress=me@myemail.com
    Sat Mar 17 20:42:10 2012 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    Sat Mar 17 20:42:10 2012 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    Sat Mar 17 20:42:10 2012 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    Sat Mar 17 20:42:10 2012 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    Sat Mar 17 20:42:10 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    Sat Mar 17 20:42:10 2012 [MY DNS] Peer Connection Initiated with 74.38.242.97:443
    Sat Mar 17 20:42:12 2012 SENT CONTROL [MY DNS]: 'PUSH_REQUEST' (status=1)
    Sat Mar 17 20:42:12 2012 PUSH: Received control message: 'PUSH_REPLY,route remote_host 255.255.255.255 net_gateway,redirect-gateway def1,dhcp-option DNS 192.168.1.1,dhcp-option WINS 192.168.1.10,dhcp-option MY DOMAIN,route 10.242.2.1,topology net30,ping 10,ping-restart 120,ifconfig 10.242.2.6 10.242.2.5'
    Sat Mar 17 20:42:12 2012 OPTIONS IMPORT: timers and/or timeouts modified
    Sat Mar 17 20:42:12 2012 OPTIONS IMPORT: --ifconfig/up options modified
    Sat Mar 17 20:42:12 2012 OPTIONS IMPORT: route options modified
    Sat Mar 17 20:42:12 2012 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
    Sat Mar 17 20:42:13 2012 ROUTE default_gateway=192.168.1.2
    Sat Mar 17 20:42:13 2012 TAP-WIN32 device [Local Area Connection 4] opened: \.\Global\{53597515-EE38-4DC8-8AC9-95B0E7D2CC95}.tap
    Sat Mar 17 20:42:13 2012 TAP-Win32 Driver Version 9.6 
    Sat Mar 17 20:42:13 2012 TAP-Win32 MTU=1500
    Sat Mar 17 20:42:13 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.242.2.6/255.255.255.252 on interface {53597515-EE38-4DC8-8AC9-95B0E7D2CC95} [DHCP-serv: 10.242.2.5, lease-time: 31536000]
    Sat Mar 17 20:42:13 2012 Successful ARP Flush on interface [5] {53597515-EE38-4DC8-8AC9-95B0E7D2CC95}
    Sat Mar 17 20:42:17 2012 TEST ROUTES: 3/3 succeeded len=2 ret=1 a=0 u/d=up
    Sat Mar 17 20:42:17 2012 C:\WINDOWS\system32\route.exe ADD 74.38.242.97 MASK 255.255.255.255 192.168.1.2
    Sat Mar 17 20:42:17 2012 Route addition via IPAPI succeeded [adaptive]
    Sat Mar 17 20:42:17 2012 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 10.242.2.5
    Sat Mar 17 20:42:17 2012 Route addition via IPAPI succeeded [adaptive]
    Sat Mar 17 20:42:17 2012 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 10.242.2.5
    Sat Mar 17 20:42:17 2012 Route addition via IPAPI succeeded [adaptive]
    Sat Mar 17 20:42:17 2012 C:\WINDOWS\system32\route.exe ADD ***.***.***.*** MASK 255.255.255.255 192.168.1.2
    Sat Mar 17 20:42:18 2012 Route addition via IPAPI succeeded [adaptive]
    Sat Mar 17 20:42:18 2012 C:\WINDOWS\system32\route.exe ADD 10.242.2.1 MASK 255.255.255.255 10.242.2.5
    Sat Mar 17 20:42:18 2012 Route addition via IPAPI succeeded [adaptive]
    Sat Mar 17 20:42:18 2012 Initialization Sequence Completed
Reply
  • 0
    The client is using the factory ssl pool 10.242.x.x

    I'll attach a full log in case it helps.

    Thanks

    Eric


    Sat Mar 17 20:41:18 2012 OpenVPN 2.1.1 i686-pc-cygwin [SSL] [LZO2] built on May  7 2010
    Sat Mar 17 20:41:37 2012 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Sat Mar 17 20:41:37 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Sat Mar 17 20:41:38 2012 LZO compression initialized
    Sat Mar 17 20:41:38 2012 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
    Sat Mar 17 20:42:07 2012 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
    Sat Mar 17 20:42:07 2012 Local Options hash (VER=V4): '30b70586'
    Sat Mar 17 20:42:07 2012 Expected Remote Options hash (VER=V4): '28786345'
    Sat Mar 17 20:42:07 2012 Attempting to establish TCP connection with ***.***.***.***:443
    Sat Mar 17 20:42:07 2012 TCP connection established with ***.***.***.***:443
    Sat Mar 17 20:42:07 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Sat Mar 17 20:42:07 2012 TCPv4_CLIENT link local: [undef]
    Sat Mar 17 20:42:07 2012 TCPv4_CLIENT link remote: 74.38.242.97:443
    Sat Mar 17 20:42:07 2012 TLS: Initial packet from 74.38.242.97:443, sid=b89c918b 92ef4bd3
    Sat Mar 17 20:42:07 2012 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Sat Mar 17 20:42:07 2012 VERIFY OK: depth=1, /C=us/L=Crossville/O=My_ID/CN=My_ID_VPN_CA/emailAddress=me@myemail.com
    Sat Mar 17 20:42:08 2012 VERIFY X509NAME OK: /C=us/L=Mytown/O=My_ID/CN=MY DNS/emailAddress=me@myemail.com
    Sat Mar 17 20:42:08 2012 VERIFY OK: depth=0, /C=us/L=Crossville/O=My_ID/CN=MYDNS/emailAddress=me@myemail.com
    Sat Mar 17 20:42:10 2012 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    Sat Mar 17 20:42:10 2012 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    Sat Mar 17 20:42:10 2012 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    Sat Mar 17 20:42:10 2012 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    Sat Mar 17 20:42:10 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    Sat Mar 17 20:42:10 2012 [MY DNS] Peer Connection Initiated with 74.38.242.97:443
    Sat Mar 17 20:42:12 2012 SENT CONTROL [MY DNS]: 'PUSH_REQUEST' (status=1)
    Sat Mar 17 20:42:12 2012 PUSH: Received control message: 'PUSH_REPLY,route remote_host 255.255.255.255 net_gateway,redirect-gateway def1,dhcp-option DNS 192.168.1.1,dhcp-option WINS 192.168.1.10,dhcp-option MY DOMAIN,route 10.242.2.1,topology net30,ping 10,ping-restart 120,ifconfig 10.242.2.6 10.242.2.5'
    Sat Mar 17 20:42:12 2012 OPTIONS IMPORT: timers and/or timeouts modified
    Sat Mar 17 20:42:12 2012 OPTIONS IMPORT: --ifconfig/up options modified
    Sat Mar 17 20:42:12 2012 OPTIONS IMPORT: route options modified
    Sat Mar 17 20:42:12 2012 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
    Sat Mar 17 20:42:13 2012 ROUTE default_gateway=192.168.1.2
    Sat Mar 17 20:42:13 2012 TAP-WIN32 device [Local Area Connection 4] opened: \.\Global\{53597515-EE38-4DC8-8AC9-95B0E7D2CC95}.tap
    Sat Mar 17 20:42:13 2012 TAP-Win32 Driver Version 9.6 
    Sat Mar 17 20:42:13 2012 TAP-Win32 MTU=1500
    Sat Mar 17 20:42:13 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.242.2.6/255.255.255.252 on interface {53597515-EE38-4DC8-8AC9-95B0E7D2CC95} [DHCP-serv: 10.242.2.5, lease-time: 31536000]
    Sat Mar 17 20:42:13 2012 Successful ARP Flush on interface [5] {53597515-EE38-4DC8-8AC9-95B0E7D2CC95}
    Sat Mar 17 20:42:17 2012 TEST ROUTES: 3/3 succeeded len=2 ret=1 a=0 u/d=up
    Sat Mar 17 20:42:17 2012 C:\WINDOWS\system32\route.exe ADD 74.38.242.97 MASK 255.255.255.255 192.168.1.2
    Sat Mar 17 20:42:17 2012 Route addition via IPAPI succeeded [adaptive]
    Sat Mar 17 20:42:17 2012 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 10.242.2.5
    Sat Mar 17 20:42:17 2012 Route addition via IPAPI succeeded [adaptive]
    Sat Mar 17 20:42:17 2012 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 10.242.2.5
    Sat Mar 17 20:42:17 2012 Route addition via IPAPI succeeded [adaptive]
    Sat Mar 17 20:42:17 2012 C:\WINDOWS\system32\route.exe ADD ***.***.***.*** MASK 255.255.255.255 192.168.1.2
    Sat Mar 17 20:42:18 2012 Route addition via IPAPI succeeded [adaptive]
    Sat Mar 17 20:42:18 2012 C:\WINDOWS\system32\route.exe ADD 10.242.2.1 MASK 255.255.255.255 10.242.2.5
    Sat Mar 17 20:42:18 2012 Route addition via IPAPI succeeded [adaptive]
    Sat Mar 17 20:42:18 2012 Initialization Sequence Completed
Children
No Data