Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 1530 views
  • Users 0 members are here
Options
Suggested

[7.185] Possible Bug: SSL Remote Access w/auto generated PF rules

yoda715
Possible Bug: When SSL RA is enabled, and 'Automatic packet filter rules' is enabled, the SSL VPN Client will not obtain an IP address on the SSL virtual interface. An IP address will be passed to the SSL VPN client, but the client will not pass the IP to the virtual interface.

Resolution: create a custom packet filter rule allowing all traffic from SSL VPN Pool > Any, and uncheck 'Automatic packet filter rules' under Remote Access > SSL > Advanced.

Is anyone else able to duplicate?

Version is 7.185.
Parents
  • 0
    hey

    i don't understand your question.

    the asg got a network definition called 'vpn pool (ssl)'. this is the net defined as 10.242.2.0/24 (means range from 10.242.2.1 to 254). on my asg the tunnel-interface tun0 has the ip 10.242.2.1  and a connected linux-client gets the ip 10.242.2.6. a winXp client connected with astaro ssl vpn client did also get an ip from this net.

    so tell me a little bit more about your problem [:)]
  • 0 in reply to _alex\
    hey

    i don't understand your question.

    the asg got a network definition called 'vpn pool (ssl)'. this is the net defined as 10.242.2.0/24 (means range from 10.242.2.1 to 254). on my asg the tunnel-interface tun0 has the ip 10.242.2.1  and a connected linux-client gets the ip 10.242.2.6. a winXp client connected with astaro ssl vpn client did also get an ip from this net.

    so tell me a little bit more about your problem [:)]


    Is the box 'Automatic packet filter rules' under SSL>Advanced checked? When I have that box checked I cannot get an IP assigned to the OpenVPN interface. Unchecked works fine.
  • 0 in reply to yoda715
    hey

    i still don't understand your problem.

    Are you using a fixed ip for our users? 

    maybe you could make an example to make your problem clear? [:)]
  • 0 in reply to _alex\
    Sorry for the confusion. Here's how to duplicate:

    Configure the SSL Remote Access VPN:
    Enable SSL VPN.
    Select the user and groups to be 'Super Admins'
    Select the local networks to be 'internal network'
    Select the Pool network to be 'VPN Pool (SSL)'
    Select the certificate to be the 'Local x509 cert'

    Now click the advanced tab and mimic the settings below:
    Protocol set to TCP
    Port set to 443
    'Automatic packet filter rules' enabled (checked)
    'Data Compression' enabled

    Encryption Alg set to AES-256
    Authentication Alg set to SHA1
    Key size set to 1024
    Key lifetime set to 

    Now install the SSL VPN client on your remote PC. When you try to connect, enter your username and password. Once you enter the username and password, you should see a popup for the SSL Client that shows an IP address. 
    NOTE: Here's where I have trouble. If 'Automatic packet filter rules' is checked, the SSL VPN will receive the IP address, but will not pass it to the Virtual Interface. If 'Automatic packet filter rules' is un-checked, the SSL Client will receive the IP address and pass it to the virtual interface. I can connect just fine AND access my local network with the latter setting.

    If you mimic my settings described above, and this is a true bug, you will not be able to access your internal network. Hope this is clearer.
  • 0 in reply to yoda715
    hey
    i made your settings but i still don't get your problem.

    what do you mean with the virtual interface? 
    is this the interface on the xp-pc? 

    /alex
  • 0 in reply to _alex\
    hey
    i made your settings but i still don't get your problem.

    what do you mean with the virtual interface? 
    is this the interface on the xp-pc? 

    /alex


    Yea, it's the interface on the XP pc that does not receive the IP address.
  • 0 in reply to yoda715
    Hi.

    I have similar problem.
    After enabling "SSL remote access" I cannot access the "User Portal".
    It seems that for some reason port 443 is blocked.
    Accessing through the SSL VPN, is impossible too.
    The log show the following info:  

    Sun May 04 17:31:22 2008 Attempting to establish TCP connection with 1.10.254.254:443
    Sun May 04 17:31:22 2008 TCP connection established with 1.10.254.254:443
    Sun May 04 17:31:22 2008 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Sun May 04 17:31:22 2008 TCPv4_CLIENT link local: [undef]
    Sun May 04 17:31:22 2008 TCPv4_CLIENT link remote: 1.10.254.254:443
    Sun May 04 17:31:22 2008 Connection reset, restarting [0]
    Sun May 04 17:31:22 2008 TCP/UDP: Closing socket
    Sun May 04 17:31:22 2008 SIGUSR1[soft,connection-reset] received, process restarting
    Sun May 04 17:31:22 2008 Restart pause, 5 second(s)
    Sun May 04 17:31:27 2008 Re-using SSL/TLS context
Reply
  • 0 in reply to yoda715
    Hi.

    I have similar problem.
    After enabling "SSL remote access" I cannot access the "User Portal".
    It seems that for some reason port 443 is blocked.
    Accessing through the SSL VPN, is impossible too.
    The log show the following info:  

    Sun May 04 17:31:22 2008 Attempting to establish TCP connection with 1.10.254.254:443
    Sun May 04 17:31:22 2008 TCP connection established with 1.10.254.254:443
    Sun May 04 17:31:22 2008 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Sun May 04 17:31:22 2008 TCPv4_CLIENT link local: [undef]
    Sun May 04 17:31:22 2008 TCPv4_CLIENT link remote: 1.10.254.254:443
    Sun May 04 17:31:22 2008 Connection reset, restarting [0]
    Sun May 04 17:31:22 2008 TCP/UDP: Closing socket
    Sun May 04 17:31:22 2008 SIGUSR1[soft,connection-reset] received, process restarting
    Sun May 04 17:31:22 2008 Restart pause, 5 second(s)
    Sun May 04 17:31:27 2008 Re-using SSL/TLS context
Children
No Data
Unfiltered HTML