Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2462 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL OpenVPN Can't ping local hosts

glynd
From home via a wireless router, I can connect to the office LAN and get an IP address in the LAN space (192.168.1.102)
I have set the DNS in Remote Access > Advanced to the ASG, (192.168.1.1)
The results of ipconfig show
IPv4: 192.168.1.102
Mask: 255.255.255.252
Default Gateway as nothing.

If I ping a local host using mnemonic (mistral.domain.com) the  numeric IP address is resolved but nothing is returned which stops me using the applications on the LAN.

Q1/ How do I set the default GW for the VPN?
Q2/ Does not having a default GW stop the routing working - can't ping successfully?

I am sure I have missed something.

Any help would be appreciated

Cheers
Glyn


This thread was automatically locked due to age.
  • 0
    Hi,

    The ssl vpn works by split tunnelling the traffic. So only the traffic to the office lan should go over the tunnel, unless you specify "any" as a local network. So I don't believe not having a default gateway set indicates an issue. I would check your routing table to see if the route has been set for the office network. Might have to run the ssl vpn as administrator if the route didn't get added.

    Is your home network different from the work network?

    Also, make sure you have created packet filter rules to allow the traffic if you didn't check the auto packet filter rule.
  • 0
    Hi, Glyn, and welcome to the User BB!

    If the things dilandau suggests don't resolve this, you might try my pet peeve: make sure that none of the definitions in the Astaro is bound to an interface as that can cause the problem you're seeing.  Edit the "bad" definitions to have 'Interface: >'.

    I may misunderstand your post, but is it possible that your home and office both have overlapping subnets?  Or, that the subnet assigned to the VPN overlaps with either?  In general best practice, 192.168/16 subnets should be reserved for homes and public hotspots, the standard VPN Pools should be left as delivered (10.242.x.0/24) and all but the very largest international businesses should use internal subnets in 172.16/12.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks Gents for this,

    The home doesn't run a network really, all I do is attach to the internet via a wireless access point (home-owned, not public). I do see a 10.n.n address from the access point. See what I mean from ipconfig I ran once connected to the VPN

    Ethernet adapter Local Area Connection 2:

       Connection-specific DNS Suffix  . : cirrus.co.za
       Link-local IPv6 Address . . . . . : fe80::3c71:c1d4:75b1:f6cb%27
       IPv4 Address. . . . . . . . . . . : 192.168.1.102
       Subnet Mask . . . . . . . . . . . : 255.255.255.252
       Default Gateway . . . . . . . . . : 

    Wireless LAN adapter Wireless Network Connection 2:

       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . : 

    Ethernet adapter Bluetooth Network Connection:

       Media State . . . . . . . . . . . : Media disconnected
       Connection-specific DNS Suffix  . : 

    Wireless LAN adapter Wireless Network Connection:

       Connection-specific DNS Suffix  . : 
       Link-local IPv6 Address . . . . . : fe80::252f:413:adb3[:D]58a%11
       IPv4 Address. . . . . . . . . . . : 10.10.2.248
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Default Gateway . . . . . . . . . : 10.10.2.50

    I am not sure if the wireless AP default g/w is playing a part.

    I am not sure about 3 things you brought up:

    q1/ The routes for the office LAN. Maybe this route /print will help
    IPv4 Route Table
    ===========================================================================
    Active Routes:
    Network Destination        Netmask          Gateway       Interface  Metric
              0.0.0.0          0.0.0.0       10.10.2.50      10.10.2.248     30
            10.10.2.0    255.255.255.0         On-link       10.10.2.248    286
          10.10.2.248  255.255.255.255         On-link       10.10.2.248    286
          10.10.2.255  255.255.255.255         On-link       10.10.2.248    286
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
          169.254.0.0      255.255.0.0         On-link      192.168.56.1     21
      169.254.255.255  255.255.255.255         On-link      192.168.56.1    276
          192.168.1.0    255.255.255.0    192.168.1.101    192.168.1.102      1
         192.168.1.97  255.255.255.255    192.168.1.101    192.168.1.102      1
        192.168.1.100  255.255.255.252         On-link     192.168.1.102    257
        192.168.1.102  255.255.255.255         On-link     192.168.1.102    257
        192.168.1.103  255.255.255.255         On-link     192.168.1.102    257
         192.168.56.0    255.255.255.0         On-link      192.168.56.1    276
         192.168.56.1  255.255.255.255         On-link      192.168.56.1    276
       192.168.56.255  255.255.255.255         On-link      192.168.56.1    276
       196.34.228.202  255.255.255.255       10.10.2.50      10.10.2.248     30
            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link      192.168.56.1    276
            224.0.0.0        240.0.0.0         On-link       10.10.2.248    286
            224.0.0.0        240.0.0.0         On-link     192.168.1.102    257
      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      255.255.255.255  255.255.255.255         On-link      192.168.56.1    276
      255.255.255.255  255.255.255.255         On-link       10.10.2.248    286
      255.255.255.255  255.255.255.255         On-link     192.168.1.102    257

    q2/ Where do I set "any" on which interfaces rather than internal?
    q3/ If I get assigned a 10... address will I still be able to see the LAN based on 192.168..?

    Thanks for the help
  • 0
    If you want to send all traffic over the tunnel you would put "any" or the "Internet" object in local networks in the ssl config.

    In regards to your question about the networks, I think I missed it before but are you trying to assign an address to the remote client from the same network as the office LAN(192.168.1.0)? 

    I would suggest using the default SSL VPN pool of 10.242.2.0/24. If you try to assign the ssl user an IP from the office network I don't believe the reply traffic will get properly routed back over the tunnel, as the machines on the office lan will think you are on the local network.
  • 0 in reply to dilandau
    Thanks Dilandau,

    After re-reading your previous reply I ran openvpn as administrator and the routing was sorted. Microslob, I think!!
    Anyway with everyone's help, the SSL VPN is now working - thanks

    Cheers
    Glyn