SSL VPN: Client to Client communication

Lars, what you were trying cannot work.  There is a way to do what you want, but it requires an Additional Address and a DNAT for each remote you want to reach.  The downside of doing this with SSL Remote Access is that you can't have a fixed, remote IP for specific users like you can do with L2TP/IPsec.

Cheers - Bob

Hi,

i'm also in need of direct client to client communication for SSL-VPN Users. We are going to implement for one of our customers an IP capable phone system which enables users to work remotley with SoftPhones on their Laptops.

Unfortunatley the Softphones try to communicate directly with each other as soon as they detect that the number called is also using IP. In my current setup this won't work.

I'm wondering how to solve this best? Already spoke to the phone system company and it's not possible to configure a fallback (for routing the calls through the phone system, preventing the softphones to talk to each other directly).

Any hints appreciated!

kind regards

jan

I've thought a bit more about this, and would be interested to know if the following NAT "trick" works:

VPN Pool (SSL) -> Any -> VPN Pool (SSL) : SNAT from Internal (Address) {leave 'Source service' blank!}

Cheers - Bob

I've thought a bit more about this, and would be interested to know if the following NAT "trick" works:

VPN Pool (SSL) -> Any -> VPN Pool (SSL) : SNAT from Internal (Address) {leave 'Source service' blank!}

Cheers - Bob

I'll try this this evening, bu the SNAT rule looks nasty to my eyes ;-)

I'm not neccessarily bound to SSL VPN, is Client 2 Client Communication possible using one of the other Remote Access VPN options Astaro is offering (L2TP, IPSec) ?

kind regards

jan

If the trick works, then I think there's nothing to be gained by using a different VPN.

You commented that the softphones "know" the IPs of the other phones - I took that to mean the IP assigned by the SSL Remote Access server in 10.242.2.0/24.  The only way for this to be easy is if the softphone doesn't register until the VPN connection is active.  If the phone registers with the public IP of the remote user instead of the VPN IP, I think this will get messy fast!

Cheers - Bob

Hi,

I've thought a bit more about this, and would be interested to know if the following NAT "trick" works:

VPN Pool (SSL) -> Any -> VPN Pool (SSL) : SNAT from Internal (Address) {leave 'Source service' blank!}

Cheers - Bob

Hi,

does not work. :-(

kind regards

jan

Jan, do you see any blocked packets in the packet filter log?  If not, can you try the SNAT again without 'Automatic packet filter rule' and with a logged packet filter rule 'VPN Pool (SSL) -> Any -> VPN Pool (SSL) : Allow' and then look again?

Is there a way for you to know the IP your softphone is using? Is it your LAN address, your public IP or your "VPN Pool (SSL)" address?

Cheers - Bob

Jan, do you see any blocked packets in the packet filter log?  If not, can you try the SNAT again without 'Automatic packet filter rule' and with a logged packet filter rule 'VPN Pool (SSL) -> Any -> VPN Pool (SSL) : Allow' and then look again?

Is there a way for you to know the IP your softphone is using? Is it your LAN address, your public IP or your "VPN Pool (SSL)" address?

Cheers - Bob

Nope, no packets belonging to the SSL VPN Pool dropped. Due to the Netmask configured on the SSL adapter i would assume packets going to the default gw (instead through the vpn tunnel) anyway?

I could try working around this with manually setting routes on the clients for the VPN SSL Pool but i don't really like that idea.

What do you think?

kind regards

jan

Ah, yes, Jan, I think that's correct.  I was trying to remember what I did to solve a similar problem... I think I finally gave up trying to find an "elegant" solution and decided that a client-side route was the only solution when running a split tunnel.

Cheers - Bob
PS Gentle reader, please go to the next page for an elegant solution by gejsdotcom (Gunawidjaja Joseph).

Lars, Jan, the trick is create virtual VPN IP Pool for VPN Static IP.

Add virtual network different with VPN IP Pool (10.242.2.0/24) ie. 10.242.7.0/24 in Local Networks SSL.

Create virtual VPN Static IP using Full NAT (DNAT/SNAT)
Any --> Any --> Client IP Static (ie. 10.242.7.7) --> Source Trans: Internal Addr --> Dest. Trans: Name_A (User Network) --> Automatic Packet FR: Checked.
....
....
Any --> Any --> Client IP Static (ie. 10.242.7.9) --> Source Trans: Internal Addr --> Dest. Trans: Name_Z (User Network) --> Automatic Packet FR: Checked.

Client to Client Communication is ready to be connected through virtual IP static.

Kind Regards,
Gunawidjaja Joseph
PT. Ultrajaya Milk Industry & Trading Co., Tbk.
Indonesia.