Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 11881 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Windows 7 & Astaro SSL VPN - no routes possible because of APIPA

StephanG
Hello everyone,

we are having some problems lately with the vpn client.

Sometimes the client can't add the routes because the dhcp server of the astaro is too slow when applying the ip address to the interface of the astaro client. So W7 is applying an APIPA adress (169.*).
If the client gets the wrong ip address the routes cannot be added.

When you reconnect 1 or 2 times the ip address can be applied. We already tried to set the "route delay" to 10 10 so that the client has more time to get the ip address. But that also does not work.

Anyone has similar problems and a solution ?
We have a ASG 525 and about 160 SSL clients at peak time. It happens over 3G or WLAN so it can't be the slow connection which is causing this.

Greets
Stephan


This thread was automatically locked due to age.
  • 0
    how many other users other than the 160 vpn clients?  The box may simply be overloaded depending on how many other users and/or features you have turned on.  I would get support involved.
  • 0 in reply to William Warren
    Hello William,

    we have about 500 users. Intrusion Protection, Web Application turned off. I think the box should be able to handle that. But i will talk to our service partner.

    Greets
    Stephan
  • 0
    Hi, Stephan,

    I think William may have hit on your issue.  It seems that SSL VPNs are real resource hogs.  I realize that some places in Europe will block IPsec, but maybe you could get everyone set up to try first with L2TP over IPsec, and only use the SSL VPN Client as a fallback solution.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hello Bob,

    yes because of the restrictions (also at our customers) we use SSL VPN as our only VPN solution. I also had these problems when we moved to SP3 of XP.

    There it was solved by the route delay entry (although i think we had 30 seconds there).

    Greets
    Stephan
  • 0
    Hi Stefan,

    are you using the ssl vpn pool or a 'real' dhcp server on your asg? 30 seconds for a dhcp request/offer seems very long to me. We use the ssl vpn client for our road warriors and they sometimes have issues while connecting. It seems to me, that W7 x64 needs some more time after booting until everything is settled. It's hard to say how long but if you wait about 5mins after booting/logon the chances for a good connection on the first try are higher.

    Regards
    Manfred
  • 0 in reply to Hallowach2
    We are using the SSL VPN Pool.
    Our colleagues normally first connect via 3G and then use the vpn client. So there is enough time for W7 to wake up [:)]

    I have no problem if the first connection does not work. But the signal light goes green and anyone think that the vpn connection is working. So they wonder why it is not working.
  • 0
    Interesting problem.  Please post the result after Astaro Support takes a look at the issue.

    Cheers - Bob
  • 0
    Did you try different versions/flavours of the vpn client (asg, openvpn,...)?
    Is it the same behaviour if someone connects over a non-3G network (wlan, from internal network to the internal interface, ...)
  • 0
    It also happens when using WLAN (had this myself at home). I will test the internal network connection.

    We are just using the Astaro VPN. But even if it works with another client it's no solution for us because then we would have to exchange about 400 clients on our notebooks.
  • 0
    i don't think it is ssl being a hog ALL vpn's are intensive.  I just think with 500 users and nearly half of them using a vpn he is hitting a limit of the box or a bandwidth limit of his wan.

    what are your cpu/ram/network traffic graphs like?