Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN-Client und der Standard Gateway

Hallo zusammen!

Ich verbinde mich mittels meines SSL-Clients auf unsere ASG 320. Die Verbindung wird auch einwandfrei aufgebaut, jedoch wird vom SSL-Client der Standard-Gateway nicht geändert, sodass ich nicht ins lokale Netz komme.

Dieses Problem tritt allerdings nicht bei allen Clients auf. Bei einigen funktioniert es auch.
Ich hatte das Problem vor einiger Zeit schon einmal mit einem Windows-Vista-Client, bei dem ich dem Astaro-SSL-Client erst Admin-Rechte geben musste, damit er den Standard-Gateway ändern durfte. Nach Änderung der Rechte funktioniert die Verbindung dann auch, aber das ist diesmal nicht das Problem.

Ich habe es inzwischen auf 2 Windows XP, einem Windows Vista und einem Windows 7 Client versucht und auf allen das gleiche Problem. Der Standard-Gateway wird nicht geändert.
Dann habe ich aber noch 2 Windows XP und einen Vista Client auf dem funktioniert es einwandfrei.

Hier ist einmal der Auszug aus dem Log des Client von einem XP-Client auf dem es funktioniert:


Mon Oct 26 12:14:47 2009 route ADD ***.**.**.216 MASK 255.255.255.255 **.**.***.43
Mon Oct 26 12:14:47 2009 Route addition via IPAPI succeeded [adaptive]
Mon Oct 26 12:14:47 2009 route DELETE 0.0.0.0 MASK 0.0.0.0 **.**.***.43
Mon Oct 26 12:14:47 2009 Route deletion via IPAPI succeeded [adaptive]
Mon Oct 26 12:14:47 2009 route ADD 0.0.0.0 MASK 0.0.0.0 10.242.20.5
Mon Oct 26 12:14:47 2009 Route addition via IPAPI succeeded [adaptive]
Mon Oct 26 12:14:47 2009 route ADD 10.242.20.1 MASK 255.255.255.255 10.242.20.5
Mon Oct 26 12:14:47 2009 Route addition via IPAPI succeeded [adaptive]
Mon Oct 26 12:14:47 2009 Initialization Sequence Completed


So sieht es auf einem der Clients aus, auf denen es logischerweise nicht funktioniert:


Mon Oct 26 13:02:58 2009 Successful ARP Flush on interface [16] {9C6AFF8E-6BBC-4697-9235-06F157EC850E}
Mon Oct 26 13:03:03 2009 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Mon Oct 26 13:03:03 2009 C:\WINDOWS\system32\route.exe ADD ***.**.**.216 MASK 255.255.255.255 ***.***.*.1
Mon Oct 26 13:03:03 2009 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=10 and dwForwardType=4
Mon Oct 26 13:03:03 2009 Route addition via IPAPI succeeded [adaptive]
Mon Oct 26 13:03:03 2009 C:\WINDOWS\system32\route.exe ADD 10.242.20.1 MASK 255.255.255.255 **.***.**.5
Mon Oct 26 13:03:03 2009 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Mon Oct 26 13:03:03 2009 Route addition via IPAPI succeeded [adaptive]
Mon Oct 26 13:03:03 2009 Initialization Sequence Completed


Wie man sehen kann, versucht der Client auf den Maschinen auf denen es nicht läuft es gar nicht den Standard-Gateway zu setzten und trägt nur eine einzige Route zwischen dem Client und der Firewall ein, sodass diese zwar erreichbar ist, aber alle anderen Anfragen ins Inet gesendet werden, statt an die ASG.

Das Problem ist somit eigentlich klar, ich verstehe nur nicht, warum der SSL-Client das tut, bzw. warum er bei einigen Rechnern funktioniert und bei anderen nicht.

Erwähnen sollte ich noch, das auf meinem Notebook z.B. der Client letzte Woche noch funktionierte, nun aber das gleiche Problem hat, ohne das eine Änderung am Client, der Firewall oder sonst etwas statt gefunden hat.
Wenn ich den Gateway übrigends über route delete/add ändere funktioniert danach die Verbindung tadellos, aber das ist ja keine dauerhafte Lösung.

Mit freundlichen Grüßen!

-mordy


This thread was automatically locked due to age.
  • Welchen Astaro Patchstand hast du denn?
    Version 7.500 oder 7.501 oder 7.405? 
    Werden die User lokal an der Astaro Authentifiziert oder über einen RADIUS / AD?

    Gruß
    Christian
  • Prüfe, dass der SSL VPN Adapter zuerst in der Reihenfolge von Netzadaptern in jedem Notebook ist: How to change the binding order of network adapters in Windows XP.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • hi mordy,

    kannst Du mir sagen, wie man unter Windows 7 dem "Astaro-SSL-Client Admin-Rechte" gibt, damit die notwendigen ROUTE ADD Befehle auch tatsächlich funktionieren. Das geht laut Logfile bei mir nämlich momentan mit "Zugriffsfehler" in die Hose. Danach findet KEIN Routing statt.

    Ist dieses Phänomen bei anderen mit Windows 7 Home Premium auch schon aufgefallen?

    Verwende den aktuellen Astaro SSL VPN Client Version 1.5 von ASG Version 7.501.

    Danke für Tipps,
    Manfred
  • I tried the link, but this page cannot be found.
    Could you please point me to the correct page.

    Tank you,
    Manfred
  • Ach ja, ich hasse diese KB von Astaro..... völlig unbrauchbares Ding...

    Geh au die KB ( Astaro Knowledgebase ) und such nach 231875
  • Thank you very much. Now SSL VPN Client is running as Administrator.

    Is there a way that the security warning on startup is not being displayed?
  • Hallo zusammen,

    habe mit einer ASG und installierter 7.501 Firmware derzeit massive SSL VPN Probleme.

    Ohne den in einem anderen Thread hier gegebenen Rat, nämlich das Standardgateway zu pushen, bekomme ich wie gesagt auch kein GW und somit auch keine Daten durch den Tunnel.

    Nach Anpassung klappt unter Windows 7 das Zuweisen der Routen und die Verbindung bleibt stehen, ich kann durch den Tunnel Daten senden.

    Wenn ich den selben Client mit selber Config auf einem WinXP Rechner (32 + 64bit) oder Win2003Server (32 + 64bit) sowie Vista starte, krieg ich auch einen Tunnelaufbau hin. Aber nach ca 2Minuten wird getrennt. Hier das Log vom Client.

    Sun Nov 08 20:28:12 2009 write TCPv4_CLIENT: Connection reset by peer (WSAECONNRESET) (code=10054)
    Sun Nov 08 20:28:12 2009 Connection reset, restarting [-1]
    Sun Nov 08 20:28:12 2009 TCP/UDP: Closing socket
    Sun Nov 08 20:28:12 2009 SIGUSR1[soft,connection-reset] received, process restarting
    Sun Nov 08 20:28:12 2009 Restart pause, 5 second(s)
    Sun Nov 08 20:28:17 2009 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Sun Nov 08 20:28:17 2009 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Sun Nov 08 20:28:17 2009 Re-using SSL/TLS context
    Sun Nov 08 20:28:17 2009 LZO compression initialized
    Sun Nov 08 20:28:17 2009 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
    Sun Nov 08 20:28:17 2009 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
    Sun Nov 08 20:28:17 2009 Local Options hash (VER=V4): '619088b2'
    Sun Nov 08 20:28:17 2009 Expected Remote Options hash (VER=V4): 'a4f12474'
    Sun Nov 08 20:28:17 2009 Attempting to establish TCP connection with **.**.**.**:443
    Sun Nov 08 20:28:38 2009 TCP: connect to **.**.**.**:443 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)


    Ich hab derzeit keine Ahnung mehr, woran es noch liegen kann. Habe ebenfalls mit verschiebenen openVPN Clients experimentiert, kein Unterschied. Ebenso Kompression aus, anderes Transfernetz, andere Verschlüsselung etc etc.

    Habs ihr noch eine Idee, wieso keine stabile Verbindung unter WinXP zustande kommt? Muss derzeit notgedrungen auf L2TP mit Zertifikaten und Radius Auth ausweichen. Aber mein Kunde wollte SSLVPN. Das kann ich ihm derzeit stabil nicht einrichten.

    Schönen Abend euch,

    Monthy
  • bei mir war es folgendes Problem:

    unter 7.5xx hat sich der SSL-VPN Client geändert.
    Es wird offenbar am Client nicht mehr das Gateway umgesetzt, sondern lokale Routen werden in die Routing-Tabelle eingetragen, und zwar nur für die Netze die bei den SSL-VPN-Einstellungen (Global->local networks) eingetragen sind. Bei mir war da Any drin, und es ging nichts mehr!
    also schnell die Netze reingeschoben in die auch wirklich zugegriffen wird und schon passt es!

    Auf den neuen Client habe ich ewig gewartet da man jetzt DAten durch den Tunnel schieben kann und gleichzeitig lokal surfen kann weil das Gateway nicht umgesetzt wird!

    super! DANKE astaro
  • Hallo,

    ich hatte ein Ticket beim Support auf. In meinem Fall scheint es gelöst. Folgendes wurde geändert:

    Ich bekam den CLient in der Version 1.6 zur Verfügung gestellt.

    Ich konnte unter SSL VPN eben kein ANY eintragen, musste dies aber nach Kundenvorgabe. Dies ist in der Version 7.501 ein Webinterface Bug. Man kann das ANY Netz nicht per Drag&Drop hineinziehen.

    Mit ein wenig Überzeugungsarbeit auf der Konsole klappte es dann.

    Noch den neuen Client installiert, die User Config neu eingespielt und mir nen Token generiert, dann hat es funktioniert. Kann alle Netze erreichen. Musste allerdings noch mit SNAT arbeiten, da da ein ProCurve hängt, der sonst alle Netze dropt, die nicht zum internen gehören, also auch die VPN Pools.

    Ich war zufrieden mit der reaktionsschnelligkeit und dem Ergebnis des Support Calls. Vielen Dank an dieser Stelle hierzu.

    Schönen Abend euch,

    Monthy