Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 25 replies
  • Answers 1 answer
  • Subscribers 4 subscribers
  • Views 330362 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN, nslookup ok, but no ping

Vodochnik
[SOLVED, but currently for admin user only!]

Hi there,

switched to astaro SSL VPN and have now huge problem:

ping IP works.
ping hostname or FQDN does NOT work
nslookup works.

VPN push internal DNS servers works just fine. They also answers to nslookup, but ping says "host name not found".

Same behavior for internal and external domains like google.com.
[:@] But sometimes it works just fine! [:@] 

VPN connection is on the top in connection list. Flushdns helps _sometimes_.

I have tried to deactivate NetBIOS in adapter settings and it works now, but after "sleep" not anymore.

This drives me crazy, is there any "ready for use" solution? Or does nobody use this buggy feature of astaro?

Similar thread: https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/55090
Some old thread with same prob: https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/53075


This thread was automatically locked due to age.
  • 0
    My bad, Sophos client DOES 
    C:\windows\system32>net.exe stop dnscache
    C:\windows\system32>net.exe start dnscache,

    but from user context! And get access denied...
  • 0
    OpenVPN Interactive Service is running, but
    OpenVPN Service is not running.
    Both of them are starting the same binary.

    I think, Sopos Client does not start VPN via service at all.

    Nice topic found, last post is very interessant (i have german windows too)...
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/75/t/63876
    Going to install fresh english win7x64 on vm...
  • 0
    ok, log from fresh installed Win7 english:



        Thu Apr 02 23:51:06 2015 OpenVPN 2.3.0 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [IPv6] built on Jul  3 2014
        Enter Management Password:
        Thu Apr 02 23:51:06 2015 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
        Thu Apr 02 23:51:06 2015 Need hold release from management interface, waiting...
        Thu Apr 02 23:51:06 2015 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
        Thu Apr 02 23:51:06 2015 MANAGEMENT: CMD 'state on'
        Thu Apr 02 23:51:06 2015 MANAGEMENT: CMD 'log all on'
        Thu Apr 02 23:51:06 2015 MANAGEMENT: CMD 'hold off'
        Thu Apr 02 23:51:06 2015 MANAGEMENT: CMD 'hold release'
        Thu Apr 02 23:51:12 2015 MANAGEMENT: CMD 'username "Auth" "***"'
        Thu Apr 02 23:51:12 2015 MANAGEMENT: CMD 'password [...]'
        Thu Apr 02 23:51:12 2015 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
        Thu Apr 02 23:51:12 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
        Thu Apr 02 23:51:12 2015 Socket Buffers: R=[8192->8192] S=[8192->8192]
        Thu Apr 02 23:51:12 2015 MANAGEMENT: >STATE:1428011472,RESOLVE,,,
        Thu Apr 02 23:51:12 2015 Attempting to establish TCP connection with [AF_INET]*********:443 [nonblock]
        Thu Apr 02 23:51:12 2015 MANAGEMENT: >STATE:1428011472,TCP_CONNECT,,,
        Thu Apr 02 23:51:13 2015 TCP connection established with [AF_INET]*********x:443
        Thu Apr 02 23:51:13 2015 TCPv4_CLIENT link local: [undef]
        Thu Apr 02 23:51:13 2015 TCPv4_CLIENT link remote: [AF_INET]*********:443
        Thu Apr 02 23:51:13 2015 MANAGEMENT: >STATE:1428011473,WAIT,,,
        Thu Apr 02 23:51:13 2015 MANAGEMENT: >STATE:1428011473,AUTH,,,
        Thu Apr 02 23:51:13 2015 TLS: Initial packet from [AF_INET]*********x:443, sid=b6be24fd 3afd589c
        Thu Apr 02 23:51:13 2015 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
        auth logs
        Thu Apr 02 23:51:14 2015 [astaro] Peer Connection Initiated with [AF_INET]***x:443
        Thu Apr 02 23:51:15 2015 MANAGEMENT: >STATE:1428011475,GET_CONFIG,,,
        Thu Apr 02 23:51:17 2015 SENT CONTROL [astaro]: 'PUSH_REQUEST' (status=1)
        Thu Apr 02 23:51:17 2015 PUSH: Received control message: 'PUSH_REPLY,register-dns,route 10.242.2.1,topology net30,ping 10,ping-restart 120,redirect-gateway def1,dhcp-option DNS 10.17.11.1,dhcp-option DNS 192.12.144.30,dhcp-option DOMAIN domain.local,ifconfig 10.242.2.6 10.242.2.5'
        Thu Apr 02 23:51:17 2015 OPTIONS IMPORT: timers and/or timeouts modified
        Thu Apr 02 23:51:17 2015 OPTIONS IMPORT: --ifconfig/up options modified
        Thu Apr 02 23:51:17 2015 OPTIONS IMPORT: route options modified
        Thu Apr 02 23:51:17 2015 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
        Thu Apr 02 23:51:17 2015 ROUTE_GATEWAY 192.12.144.254/255.255.255.0 I=11 HWADDR=00:50:56:a1:3c:c2
        Thu Apr 02 23:51:17 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
        Thu Apr 02 23:51:17 2015 MANAGEMENT: >STATE:1428011477,ASSIGN_IP,,10.242.2.6,
        Thu Apr 02 23:51:17 2015 open_tun, tt->ipv6=0
        Thu Apr 02 23:51:17 2015 TAP-WIN32 device [Local Area Connection 2] opened: \.\Global\{15EC0C37-08E5-4F23-A877-7DFEE0560F7F}.tap
        Thu Apr 02 23:51:17 2015 TAP-Windows Driver Version 9.9
        Thu Apr 02 23:51:17 2015 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.242.2.6/255.255.255.252 on interface {15EC0C37-08E5-4F23-A877-7DFEE0560F7F} [DHCP-serv: 10.242.2.5, lease-time: 31536000]
        Thu Apr 02 23:51:17 2015 NOTE: FlushIpNetTable failed on interface [20] {15EC0C37-08E5-4F23-A877-7DFEE0560F7F} (status=5) : Access is denied.  
        Thu Apr 02 23:51:21 2015 TEST ROUTES: 3/3 succeeded len=2 ret=1 a=0 u/d=up
        Thu Apr 02 23:51:21 2015 C:\Windows\system32\route.exe ADD ext_ip MASK 255.255.255.255 192.12.144.254
        Thu Apr 02 23:51:21 2015 Route addition via service succeeded
        Thu Apr 02 23:51:21 2015 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 10.242.2.5
        Thu Apr 02 23:51:21 2015 Route addition via service succeeded
        Thu Apr 02 23:51:21 2015 C:\Windows\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 10.242.2.5
        Thu Apr 02 23:51:21 2015 Route addition via service succeeded
        Thu Apr 02 23:51:21 2015 MANAGEMENT: >STATE:1428011481,ADD_ROUTES,,,
        Thu Apr 02 23:51:21 2015 C:\Windows\system32\route.exe ADD ext_ip MASK 255.255.255.255 192.12.144.254
        Thu Apr 02 23:51:21 2015 ROUTE: route addition failed using service: The object already exists.   [status=5010 if_index=11]
        Thu Apr 02 23:51:21 2015 Route addition via service failed
        Thu Apr 02 23:51:21 2015 C:\Windows\system32\route.exe ADD 10.242.2.1 MASK 255.255.255.255 10.242.2.5
        Thu Apr 02 23:51:21 2015 Route addition via service succeeded
        Thu Apr 02 23:51:21 2015 Initialization Sequence Completed
        Thu Apr 02 23:51:21 2015 MANAGEMENT: >STATE:1428011481,CONNECTED,SUCCESS,10.242.2.6,ext_ip
        Thu Apr 02 23:51:21 2015 Start net commands...
        Thu Apr 02 23:51:21 2015 C:\Windows\system32\net.exe stop dnscache
        System error 5 has occurred.
         
        Access is denied.
         
        Thu Apr 02 23:51:21 2015 ERROR: Windows ipconfig command failed: returned error code 2
        Thu Apr 02 23:51:21 2015 C:\Windows\system32\net.exe start dnscache
        The requested service has already been started.
         
        More help is available by typing NET HELPMSG 2182.
         
        Thu Apr 02 23:51:21 2015 ERROR: Windows ipconfig command failed: returned error code 2
        Thu Apr 02 23:51:21 2015 C:\Windows\system32\ipconfig.exe /flushdns
         
        Windows IP Configuration
         
        Successfully flushed the DNS Resolver Cache.
        Thu Apr 02 23:51:21 2015 C:\Windows\system32\ipconfig.exe /registerdns
        The requested operation requires elevation.
         
        Thu Apr 02 23:51:21 2015 ERROR: Windows ipconfig command failed: returned error code 1
        Thu Apr 02 23:51:21 2015 End net commands...



    Ok, 1 route add failed because connecting from intern network to intern network, so expected. But why is C:\Windows\system32\net.exe stop dnscache failed? 

    OpenVPN Interactive Service is running,
    OpenVPN Service is not running and startup setting is "manual".
  • 0
    Did you install the client as Administrator?  Did you run the client as Administrator?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    downloaded OpenVPN client from OpenVPN.net
    Installed over Sophos client. Sophos got uninstalled.
    C:\Windows\system32\net.exe stop dnscache works like a charm. lol.
    And i have 2 processes openvpn.exe and openvpn-gui.exe
    Both from user. Service ist stopped. I don't know...
  • 0
    Hi BAlfson,

    I installed client as admin (TAP Device install needs admin), but i need to run client as user, bcoz client is for notebooks of our roadwarriors.
  • 0
    ok... i just wanted to deploy client to all users via AD and let users to download configs from UTM site and install personal configs themselves.
    BUT, config install requires admin privileges too.
    So sophos solution is completely unusable for me.
    It's a pain.
  • 0
    F5 networks (FirePass) have nice in-browser solution (java based as far as i know), not requiring admin rights.
    Does anybody know more solutions for enterprise environment?
    I mean environment, where users do not work with admin privileges.

    I can use Securepoint VPN Client and let users download .zip with keys and .ovpn config, but "download .zip and unpack it into directory" is too much for some of them (((
  • 0
    Hi there,

    is there some new Information or some kind of workaround? It would be very nice, if you could install the config without admin-rights. 

    Thanks LittleBird
  • 0
    The main reason it requires admin rights is because you are writing files to C:\Program Files (x86) and anything in that directory requires admin rights.

    What you could do is basically create a GPO that gives users admin rights only to that directory.  I've had to do this with a custom piece of software our development team creates for Dynamics CRM.
Unfiltered HTML