VPN client - can't ping internal network

Hey guys,
I know this issue has been beaten to death, but in all the threads I've searched, there is either no resolution posted, or I have tried all of the tests/checks suggested.
Using a home user firewall license, 8.102

I've set the VPN client up for other clients, but can not seem to get it to work on my network.  The client laptop is on a 192.168.2.x network, using default VPN pool addresses.

The client connects, and I can ping the astaro gateway (10.0.0.1), but can not ping any of my servers (10.0.0.10+) or any other devices on my network.  Web servers are nix based, so it's not a windows firewall issue.

I've looked at the packet filter log, and it shows nothing related to the vpn. The remote access settings are correct from what I can tell - my username allowed, to internal networks (10.0.0.x).  No WINS, DNS settings are set correctly, but I can handle DNS issues once I figure out the more important issues.  Made sure the auto-packet filter rule box was checked, etc.

Thank you for reading through this
  • Hi, what do you have the ICMP settings of Astaro?

    Barry
  • In reply to BarryG:

    Sorry for the delayed response, I have:
    yes Allow on firewall, yes Allow through firewall
    no logging of initial packets
    yes Firewall is ping visible, yes ping from firewall
    no firewall forwards pings
    no firewall is traceroute visible, no firewall forwards traceroute.
  • Try enabling firewall forwards pings.

    Barry
  • In reply to BarryG:

    Made that change, and still receiving the same results.  I re-downloaded the config files, just to eliminate the possibility of that issue.  Any other suggestions, or requests for other information?  I'm completely out of ideas.  I've even made sure I had the same settings as they appear on a functioning client-vpn/firewall combo (of course, with all dynamic information, ie addresses, adjusted appropriately.)
  • Just a quick question, are these servers also using the ASG as their gateway? You seem to have correct configuration. Can you answer these?

    1) Whats the IP of the ASG internal interface? Can you ping that? (i think from the above text you can, if that is what your pinging.

    2) What's the netmask for your internal interface/lan look like? is your lan just 10.0.0.0/24 with 10.0.0.1 as the internal IP of the ASG interface?

    3) if you can connect and ping the INTERNAL interface of the ASG from your VPN pool assigned to you (which you said is the default) then you have a tunnel and permissions are probably correct, especially if you have packet filter rules set to auto. Can you telnet or RDP for example to the client lan, or is it just ping which is lost?

    Some more info and we can sort you out.
  • In reply to AngeloC:

    1) The internal address of the astaro is 10.0.0.1, which I can ping from the VPN.

    2)Internal network is 10.0.0.0/24, with as you stated, 10.0.0.1 being the gateway (astaro)

    3)I haven't found a protocol or port number which works.  I've tried using a web browser to some of the web servers, tried RDP to the windows computers which have it enabled.  I've tried SSH to a few of the computers that have it enabled.  Even tried telnet on different ports that I know are open on the internal network, but to no avail.  

    All your help is appreciated, and sorry for the delayed responses.
    -Neil
  • In reply to ntomsheck:

    I'm curious as to the solution to this problem, too.  I'm having very similar issues with my ASG to ASG IPSec VPN.  I can ping the distant end ASG from both sides, but I can't ping through the ASG to any device on the network.  I can even log into the web interface of the distant end ASG.

    It appears that the tunnel is set up correctly because I can log in to the web access and I have the auto packet filter setting turned on.  There is no evidence of either ASG dropping the ping packets in any logs.

    I'm now starting to go in circles because I have nothing I know of to try.
  • There was no response to Angelo's question about the default gateway for the internal devices.

    If that's set correctly, can you reach things by IP but not FQDN?

    Cheers - Bob
  • In reply to AngeloC:

    Just a quick question, are these servers also using the ASG as their gateway? You seem to have correct configuration. Can you answer these?

    1) Whats the IP of the ASG internal interface? Can you ping that? (i think from the above text you can, if that is what your pinging.

    2) What's the netmask for your internal interface/lan look like? is your lan just 10.0.0.0/24 with 10.0.0.1 as the internal IP of the ASG interface?

    3) if you can connect and ping the INTERNAL interface of the ASG from your VPN pool assigned to you (which you said is the default) then you have a tunnel and permissions are probably correct, especially if you have packet filter rules set to auto. Can you telnet or RDP for example to the client lan, or is it just ping which is lost?

    Some more info and we can sort you out.


    I don't know about the original poster, but I'll answer these questions for myself.

    My two networks are 192.168.0.0/24 and 192.168.2.0/24, each ASG's internal interface is 192.168.x.1.

    I can ping 192.168.0.1 and 192.168.2.1 from the 192.168.0.0/24 network and I can ping 192.168.2.1 and 192.168.0.1 from the 192.168.2.0/24 network.  The problem comes when I try to ping (or connect in any way for that matter) to any ip address beyond the distant end firewall on either side.  ie: I cannot ping 192.168.2.2 from the 192.168.0.0/24 network and vice versa.
  • What is the default gateway for the devices in .x.0/24?

    Cheers - Bob
  • In reply to BAlfson:

    What is the default gateway for the devices in .x.0/24?

    Cheers - Bob


    The default gateway is set by the dhcp server and is .x.1 (ASG internal address) on each respective network.  The only static mapped device on either network has the default gateway set to .x.1 also.

    The traffic appears to be getting to the distant end ASG but I cannot find any logs showing that the traffic that is supposed to be going through to the internal network is being dropped.
  • Is there anything unusual in the Intrusion Prevention log?

    Maybe it's time to take a look at the traffic on the remote internal interface with tcpdump from the Astaro command line.

    Cheers - Bob
  • In reply to BAlfson:

    Is there anything unusual in the Intrusion Prevention log?

    Maybe it's time to take a look at the traffic on the remote internal interface with tcpdump from the Astaro command line.

    Cheers - Bob


    IPS isn't showing anything at all.  Completely empty logs on both ASGs.  I'll have to give tcpdump a try and dig around a bit.

    Thanks for the help.  I'll let you know what tcpdump turns up.
  • In reply to Tetz:

    Are you running Windows 7?  Is UAC enabled?  If so, exit the ssl versions that starts with your profile, and right click and choose: Run As Administrator.  See if it works then.  I was having a very similar problem.  It turned out that the routes were not getting added (showed as error in the status window of astaro client) to the IP tables because a recent windows update made that an Admin only priveledge.
  • In reply to number2jcb:

    Are you running Windows 7?  Is UAC enabled?  If so, exit the ssl versions that starts with your profile, and right click and choose: Run As Administrator.  See if it works then.  I was having a very similar problem.  It turned out that the routes were not getting added (showed as error in the status window of astaro client) to the IP tables because a recent windows update made that an Admin only priveledge.


    It's an ASG to ASG vpn to Windows isn't involved with this one.  BUT, it seems that after the update, the problem appears to be mostly fixed.  At least I can ping a device on the distant end network now.  I'm going to play with tcpdump some more.  Thanks for the help guys.  Sorry it took so long to respond.  Not much time anymore.