Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 11870 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Windows 7 & Astaro SSL VPN - no routes possible because of APIPA

StephanG
Hello everyone,

we are having some problems lately with the vpn client.

Sometimes the client can't add the routes because the dhcp server of the astaro is too slow when applying the ip address to the interface of the astaro client. So W7 is applying an APIPA adress (169.*).
If the client gets the wrong ip address the routes cannot be added.

When you reconnect 1 or 2 times the ip address can be applied. We already tried to set the "route delay" to 10 10 so that the client has more time to get the ip address. But that also does not work.

Anyone has similar problems and a solution ?
We have a ASG 525 and about 160 SSL clients at peak time. It happens over 3G or WLAN so it can't be the slow connection which is causing this.

Greets
Stephan


This thread was automatically locked due to age.
  • 0
    I can't believe that it is the box. An ASG 525 should be able to handle these few users. Also our internet connection is 100 Mbit.

    average usage of 
    RAM: 35-40% used
    CPU: 25% used
    WAN: average of today was 3 mbps outbound and 500kbit inbound
  • 0
    Based on the sizing guidelines, assuming you have a rev 4 525, the maximum number of concurrent SSL VPN tunnels that it is rated for is 200.
  • 0
    Yes you are right. Just found the sizing pdf
    If site 2 site or roadwarrior should not matter in this scenario.
    Well let's see what our partner is saying about this. Because 200 ain't that much.

    Thanks.
  • 0
    Yes you are right. Just found the sizing pdf
    If site 2 site or roadwarrior should not matter in this scenario.
    Well let's see what our partner is saying about this. Because 200 ain't that much.

    Thanks.


    If you aren't going ti listen to scott who works at astaro then you are in for a long haul....you need a bigger box for the large number of users.  The specs give max throughput for that function alone...so if you stack 350 users with 125 ssl users you are going to have performance problems..like you are seeing
  • 0 in reply to William Warren
    I'm listening to him. I just want to know why it was sold to us for 500+ users.

    Is clustering double the number of possible connections ? We have 2 boxes at the moment with hot standby.
  • 0
    I'm listening to him. I just want to know why it was sold to us for 500+ users.

    Is clustering double the number of possible connections ? We have 2 boxes at the moment with hot standby.


    it depends on how the vpns are routed...also is the cluster active/active or is the second unit the standyby?  If it is the standby then you only have the capacity of one.  I don't know if vpn is load balanced in an active/active scenario
  • 0
    Ok.
    We still did not get any response from sophos about the sizing issue.

    But after all it happens even on sunday or in the evening when there are about 20-50 ppl connected. New is that the adapter gets an ip address. Routes are applied and W7 changes it back to an APIPA address and the routes get lost.


    Greets
    Stephan
  • 0
    But after all it happens even on sunday or in the evening when there are about 20-50 ppl connected. New is that the adapter gets an ip address. Routes are applied and W7 changes it back to an APIPA address and the routes get lost.

    Stephan, that makes me think that there's a real problem - not resource exhaustion.  I would think that Astaro Support might escalate this case to a developer.  While you're waiting for Support to respond, how about posting the logifiles for a connection attempt from both the Client and the ASG?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hello Bob,

    i attached all the logs i could find [;)]

    Client, Server and dhcp client windows

    I connected after i started from standby. There are too many entries in the dhcp client log. But no errors.

    Greets
    Stephan
    astarologs.zip
  • 0
    The client log makes me wonder if this isn't a permissions issue.  Was the client installed with administrator rights?  Is it started with run as administrator?  Or, does this specific client and device connect successfully some times, but not others?

    I'm a little confused by the DHCP log and what this has to do with the connection attempt.  How is adapter 15 related to the PC running the SSL client?

    Cheers - Bob