All traffic via StrongVPN/HideMyAss etc.???

After some considerable fooling around (which I won't go into - to do with converting the ovpn to apc, and some corruption in the output file, and having to temporarily kludge the dynamically generated config file on the server by hand-editing it in an ssh session) I have a tunnel up.

I can't for the life of me find where I would tell the astaro what networks are reachable through that tunnel though, so I can tell it that "internet" is a remote network over that VPN. Looking in the "Site to site vpn" section, then drilling down to "SSL" I have my tunnel visible in the "connections" tab, but oddly the "settings" tab in here seems to refer to my VPN _server_ (the astaro, openvpn) and gives me options relating to what port to listen on, what IP pool to allocate to clients etc. I can see no settings relating to the astaro as a client, and can't see where I'd specify remote networks for this vpn.

Incidentally, in the status screen (the top level of "site to site vpn") I can see my connection with a green light, but it says:

unknown = my.public.ip.addr:51517  vpn.server.ip.addr:443 = unknown  

Are the "unknown" entries here supposed to be the non-public IPs? That would make sense. Perhaps my tunnel is entirely broken even though it kind of appears to be working in a fashion.

Any pointers?

OK more to report. I figured out (by looking in the output of ifconfig) that my tunnel is on tun1 and I have the ip 172.16.1.31, so I tried pinging 172.16.1.1 and sure enough that is my gw on the vpn.

So I kludged in a default route with "route add default gw 172.16.1.1 dev tun1" and then, in my ssh session on the astaro, I was able to access the internet via the vpn - I can ping/traceroute/wget to public internet addresses OK. Speed is just as fast as my native connection, all looks good.

So far so good. 

Then I tried to ping (or do anything else involving accessing the internet) from a client box on the LAN, no-good, pings time out.

I tried removing the kludged default route on the astaro, and instead doing it the proper way (a policy route, saying "any internal network to any internet network for service ping/traceroute go via tun1"), the same - when the policy route is turned off, pings from clients to say Google are fine, and are as expected routed via the dsl uplink. Turn on the policy route and pings just time out, traceroute shows they get to the astaro then nothing - just lines of "* * *" like traceroute shows when it has no data.

I can see nothing in the firewall log to indicate why this would be.

Clients can ping 172.16.1.31 (the tun1 interface on the astaro) from the LAN, but not 172.16.1.1 (the vpn provider gw)

If I can get this working in so far as clients on the lan get routed via the vpn, then I think forcing all traffic over it should be as simple as adding a policy route for "all" services.

However, I can't get it to masquerade since the tun1 interface doesn't show up in the list. Does astaro handle site to site vpns internally in such a way that you can't do anything with the interface via webadmin? If so, it seems what I'm trying to do may not be possible at all, since I can't set up a policy route (and no routes seem to be being pushed by the openvpn server), nor can I masquerade the LAN over the vpn.

Something occurs to me. Can you tell me anything about how DNS requests would be handled, both in the context of not using the proxy, and of using the proxy.

If not proxying, so the client is just making say an HTTP connection on port 80 and this is being sent over the VPN, but the client uses the astaro as it's DNS (the astaro is doing dns forwarding/caching), is there any possibility the astaro would "leak" the dns requests over it's own uplink rather than using the VPN to get to the remote DNS servers?

Don't use Astaro as the DNS. In fact, you should have the Astaro DNS service NOT be available for your LAN.
Set your PC to use a DNS server on the other end of the tunnel, if available, or to use OpenDNS or GoogleDNS (as long as you aren't allowing any traffic through the firewall, this will go through the VPN).

The same question in the case of using the proxy with a "parent proxy" on the internet - how will the proxy resolve addresses, will it use the parent proxy to do the resolution (which is fine), will it do the resolution itself but over the VPN (which is fine), or will it do the resolution over it's own non-vpn uplink (not fine obviously).

I'm not sure. Try it, and run tcpdump (on astaro console or ssh) on the EXT interface.

Then I tried to ping (or do anything else involving accessing the internet) from a client box on the LAN, no-good, pings time out.

Did you include your LAN network in both sides of the VPN configuration?

Barry

Something occurs to me. Can you tell me anything about how DNS requests would be handled, both in the context of not using the proxy, and of using the proxy.

If not proxying, so the client is just making say an HTTP connection on port 80 and this is being sent over the VPN, but the client uses the astaro as it's DNS (the astaro is doing dns forwarding/caching), is there any possibility the astaro would "leak" the dns requests over it's own uplink rather than using the VPN to get to the remote DNS servers?

Don't use Astaro as the DNS. In fact, you should have the Astaro DNS service NOT be available for your LAN.
Set your PC to use a DNS server on the other end of the tunnel, if available, or to use OpenDNS or GoogleDNS (as long as you aren't allowing any traffic through the firewall, this will go through the VPN).

The same question in the case of using the proxy with a "parent proxy" on the internet - how will the proxy resolve addresses, will it use the parent proxy to do the resolution (which is fine), will it do the resolution itself but over the VPN (which is fine), or will it do the resolution over it's own non-vpn uplink (not fine obviously).

I'm not sure. Try it, and run tcpdump (on astaro console or ssh) on the EXT interface.

Then I tried to ping (or do anything else involving accessing the internet) from a client box on the LAN, no-good, pings time out.

Did you include your LAN network in both sides of the VPN configuration?

Barry

Hi Barry,

Thanks for your reply.

I don't have control over the other end of the connection, so I think what I'm trying to do isn't possible with Astaro. It's odd that someone has reported having it working, because I just can't see how that could be possible - looking at the documentation, it seems the server pushes the routes out to the client and there is no way to manually force the routes from the client side. If I try to put in a static route it just fails saying I can't set a default route anywhere but an interface definition, and of course I can't access the vpn tun interface through webadmin. I could set a policy route, but then I'd need to NAT the lan clients to the astaros VPN endpoint address, but that doesn't seem to be possible because I can't do masquerading (can't see the interface in webadmin), and I can't do SNAT (would have to have a separate rule for every protocol).