Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 2350 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

PPTP VPN unable to browse web while connected to VPN

jburke
I recently wiped out my config on my Astaro becasue of the 7.5 update issues with the HTTP/S proxy to see if a fresh config would help the issue. TO make a long story short, my Astaro was setup by someone else and there were a lot of extra packet filter/nat/etc rules that were added to the config.

Before I wiped it out, my PPTP vpn users were able to browse the web while connected to the vpn. The web traffic was filtered by the Astaro while they were connected remotely.

For the life of me, I can't remember how to allow PPTP vpn user top browse the web when they are connected remotely to the vpn.

I'm running a ASG 7.501. Proxy is in transparent mode with SSL traffic being scanned. All my remote users have the cert needed for the Astaro to scan SSL traffic.

Thanks,


John


This thread was automatically locked due to age.
Parents
  • 0
    Let me take a stab at this myself. Maybe someone can tell me if I am correct here.

    I need a packet filter rule.

    PPTP-Pool > Any > Any

    ???
  • 0 in reply to jburke
    PPTP-Pool > Any > Any???



    Ok I did some more searching on here and found a link to a kb article on the astaro website.

    Read this kb.

    Remote Access via PPTP
    Configuring ASG and Client

    I followed the directions, but still cannot access the web when connected via the vpn.

    I changed my pf rule to reflect the kb.

    PPTP-Pool > Any > Internal (Network)

    I put that rule in the last position in the pf list.
  • 0 in reply to jburke
    I followed the directions, but still cannot access the web when connected via the vpn.

    I changed my pf rule to reflect the kb.

    PPTP-Pool > Any > Internal (Network)

    I put that rule in the last position in the pf list.




    Ok.. again I've done more testing and now I think I may have posted my question inthe wrong forum.

    I checked my packet filter log and dns requests from the PPTP pool are getting rejected. 

    11:18:28 	Default DROP 	UDP 	

    10.107.204.2 	: 	49333

    	→ 	

    10.1.200.1 	: 	53

    	

    len=56 	ttl=63 	tos=0x00 	srcmac=00:10:f3:0c:77:e8 	dstmac=00:00:00:00:00:00

    11:18:35 	Default DROP 	UDP 	

    10.107.204.2 	: 	64963

    	→ 	

    10.1.1.203 	: 	53

    	

    len=56 	ttl=63 	tos=0x00 	srcmac=00:10:f3:0c:77:e8 	dstmac=00:00:00:00:00:00

    11:18:43 	Default DROP 	UDP 	

    10.107.204.2 	: 	49333

    	→ 	

    10.1.200.1 	: 	53

    	

    len=56 	ttl=63 	tos=0x00 	srcmac=00:10:f3:0c:77:e8 	dstmac=00:00:00:00:00:00

    11:18:49 	Default DROP 	UDP 	

    10.107.204.2 	: 	59765

    	→ 	

    10.1.200.1 	: 	53

    	

    len=55 	ttl=63 	tos=0x00 	srcmac=00:10:f3:0c:77:e8 	dstmac=00:00:00:00:00:00

    11:18:50 	Default DROP 	UDP 	

    10.107.204.2 	: 	64963

    	→ 	

    10.1.1.203 	: 	53

    	

    len=56 	ttl=63 	tos=0x00 	srcmac=00:10:f3:0c:77:e8 	dstmac=00:00:00:00:00:00

    11:18:55 	Default DROP 	UDP 	

    10.107.204.2 	: 	5353

    	→ 	

    10.1.200.1 	: 	53

    	

    len=71 	ttl=254 	tos=0x18 	srcmac=00:10:f3:0c:77:e8 	dstmac=00:00:00:00:00:00

    11:18:56 	Default DROP 	UDP 	

    10.107.204.2 	: 	57156

    	→ 	

    10.1.1.203 	: 	53

    	

    len=55 	ttl=63 	tos=0x00 	srcmac=00:10:f3:0c:77:e8 	dstmac=00:00:00:00:00:00



    I did enter the dns setting under Remote Access>Advanced.
  • 0 in reply to jburke
    You don't mention if you created a http profile for the pptp pool?

    If you just want to allow the traffic with a packet filter rule you will also need to create a nat masq and add the pptp pool to the allowed networks for dns.
Reply
  • 0 in reply to jburke
    You don't mention if you created a http profile for the pptp pool?

    If you just want to allow the traffic with a packet filter rule you will also need to create a nat masq and add the pptp pool to the allowed networks for dns.
Children
  • 0 in reply to dilandau
    You don't mention if you created a http profile for the pptp pool?

    I'm not using proxy profiles. Do I need to be in order to filter pptp http traffic?

    If you just want to allow the traffic with a packet filter rule you will also need to create a nat masq and add the pptp pool to the allowed networks for dns.


    I did create a NAT MASQ. (PPTP-Pool > WAN) Is that all I need?

    As for DNS, I am using internal Active DIreccoty servers. Do I add the PPTP-Pool to Network Services>DNS>Global>Allowed Networks??


    I did add one more packet filter rule. (PPTP-Pool>Any>Any). This has allowed web, vnc, etc traffic from a machine connected to the vpn. The http traffic however is not filtered with the content filter. So, I assume a client inside my LAN could use the vpn to cercumvent the content filter. Is there a way I could disallow vpn connection from the LAN be dropped?