Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 3061 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN, some servers are unreachable

NielsVonk
Hi all,

I'm having some trouble with our SSL VPN connection.

Overview of our netwerk:

Astaro 10.0.0.1
Network devices 10.0.0.x
Server mask 10.0.1.x
Virtual clients 10.0.11.x
SSL VPN Pool 10.242.2.x

We have 3 internet facing servers in the 10.0.1.x with 2 NIC's, 1 internal 1 external. (10.0.1.1 , 10.0.1.2, 10.0.1.101)


When I connect to the VPN I get the following settings on my machine.
( My own internal mask is 192.168.5.x )

--------------------------------------------------------------------
Ethernet-adapter voor LAN-verbinding 2:

   Verbindingsspec. DNS-prefix. . . .: xhack.nl
   Beschrijving. . . . . . . . . . . : Astaro SSL VPN Adapter
   IPv4-adres. . . . . . . . . . . . : 10.242.2.6(voorkeur)
   Subnetmasker. . . . . . . . . . . : 255.255.255.252
   Default gateway . . . . . . . . . :
   DHCP-server . . . . . . . . . . . : 10.242.2.5
   DNS-servers . . . . . . . . . . . : 10.0.1.6
--------------------------------------------------------------------
   
And my routing table is showing the following settings.

--------------------------------------------------------------------
IPv4 routetabel
===========================================================================
Actieve routes:
Netwerkadres             Netmasker          Gateway        Interface withric
         10.0.0.0      255.255.0.0       10.242.2.5       10.242.2.6      1
         10.0.1.0    255.255.255.0       10.242.2.5       10.242.2.6      1
        10.0.11.0    255.255.255.0       10.242.2.5       10.242.2.6      1
       10.242.2.1  255.255.255.255       10.242.2.5       10.242.2.6      1
-------------------------------------------------------------------- 

So i'm connected, lets start pinging ....

--------------------------------------------------------------------
C:\Users\ZeteMKaa>ping 10.0.1.1

Pinging 10.0.1.1 with 32 bytes of data:
Request timed-out.

C:\Users\ZeteMKaa>ping 10.0.1.2

Pinging 10.0.1.2 with 32 bytes of data:
Request timed-out.

C:\Users\ZeteMKaa>ping 10.0.1.101

Pinging 10.0.1.101 with 32 bytes of data:
Request timed-out.

C:\Users\ZeteMKaa>ping 10.0.1.8

Pinging 10.0.1.8 with 32 bytes of data:
Response from 10.0.1.8: bytes=32 tijd=33 ms TTL=63

C:\Users\ZeteMKaa>ping 10.0.1.5

Pinging 10.0.1.5 with 32 bytes of data:
Response from 10.0.1.5: bytes=32 tijd=103 ms TTL=127

C:\Users\ZeteMKaa>ping 10.0.1.6

Pinging 10.0.1.6 with 32 bytes of data:
Response from 10.0.1.6: bytes=32 tijd=33 ms TTL=127

C:\Users\ZeteMKaa>ping 10.0.11.102

Pinging 10.0.11.102 with 32 bytes of data:
Response from 10.0.11.102: bytes=32 tijd=58 ms TTL=127

C:\Users\ZeteMKaa>ping 10.0.0.1

Pinging 10.0.0.1 with 32 bytes of data:
Response from 10.0.0.1: bytes=32 tijd=33 ms TTL=64

C:\Users\ZeteMKaa>ping 10.0.0.20

Pinging 10.0.0.20 with 32 bytes of data:
Response from 10.0.0.20: bytes=32 tijd=38 ms TTL=63
--------------------------------------------------------------------

Strange enough i don't get any response from my internet facing servers. I've added a rule in the FW to allow my SSL VPN pool to connect to the internet facing servers and I am allowing all services. Can someone explain to me why it's possible to ping 10.0.1.8 but not the 10.0.1.2 ?

* Astaro is set to allow ping and all [;)]

Thanks in advance !


This thread was automatically locked due to age.
  • 0
    Hi, ZeteMKaa, and welcome to the User BB!

    Whenever you open a thread, please remember to state the exact versions of the related software.  V9.003-16?  Windows 7?

    Pinging is regulated by the settings on the 'ICMP' tab of 'Firewall'.

    Any luck?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi, thanks for the welcome.
    We are running Astaro 8.305, pinged with Win XP, Win 7 and several unix machines.

    Have the ICMP settings open on the firewall.

    But still not able to ping some of the machines, they are all on the same subnet and even on the same ESX server.
  • 0
    It sounds like the issue is in that ESXi server.  My guess is that its default gateway is not the Astaro.

    Cheers - Bob
  • 0
    My ESX server has 6 servers inside the 10.0.1.x subnet.

    The 3 interfacing servers have 2 interfaces, 1 internal and 1 external.
    For that i've configured 2 swtiches.

    all server on the first switch, and the 3 internetfacing also on the second switch.
    When i look at the DNS & Routing all settings are pointing to my astaro.

    I've also tried to remove the servers from the second switch but still no solution.

    Thanks in advance.
  • 0
    Is the UTM also a VM in the same server?  What is the connection to the three servers?  How is that different than the connection to 10.0.1.5, .6 and .8?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    I have a hardware appliance so the Astaro is not on the same server.

    The differance between the machines is that the .1 .2 and .101 have a dual ethernet adapter, 1 to the internet and 1 to the internal network.
    Other then that, all the server are the same.

    Thanks in advance.
  • 0
    This is strange.  Any time something is strange, check the Intrusion Prevention log.

    Another thought.  Having two interfaces connected to the same Ethernet segment will cause routing problems.  Please [Go Advanced] below and show a picture of your network diagram if you aren't 100% certain this isn't an issue.

    Cheers - Bob