Thread Info
  • State Not Answered
  • Replies 4 replies
  • Subscribers 0 subscribers
  • Views 1056 views
  • Users 0 members are here
Options
Suggested

[7.911][QUESTION][ANSWERED] Any known IPS issues in conjunction with L2TP?

eFrisky
Are there are known issues with any of the IPS rules, used in conjunction with L2TP-IPSec VPN connectivity?

I have been trying to narrow down a problem using L2TP testing with non-NAT-ed and NAT-ed peers; and found that when a 'fairly full' IPS rule set is used (OS, mail servers, client software, protocol anomaly, malware, IM, multimedia aps) it's not possible to successfully establish an L2TP connection with a NAT-ed peer (Win7 client).  I have deactivated all the other Anti-DOS/Flooding and Anti-Portscan features.

I've checked that the Win7 IPSec-relevant services are active (as detailed in the knowledge base).
Tested using iPhone (non-NAT-ed peer) and Win7 client system (NAT-peer).  Interstingly, the iPhone is using the t-mobile 3G data network here in The Netherlands, and the Win7 notebook is on a t-mobile WiFi hotspot.  I can try the Win7 system later today, running as a non-NAT-ed peer to confirm the observed behaviour.

As a side note, I'm still trying (and failing) to enable both of the WAN connections (domestic Cable and ADSL connections) on the Astaro system to listen simultaneously for incoming L2TP connections.  Have searched and read everything that I can find, only to see some hints that this should be possible.

Any feedback or testing suggestions would be most welcome - thanks in advance!
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 7.911
    Type: QUESTION
    State: ANSWERED
    Reporter: eFrisky
    Contributor: 
    MantisID: 
    Target version: 
    Fixed in version: 
    --------------------------------

  • 0
    Are there are known issues with any of the IPS rules, used in conjunction with L2TP-IPSec VPN connectivity?


    No, there's nothing that i could point my fingers on. On the other hand, we are currently preparing an IPS update (cleaning up our ruleset and getting closer in sync to the upstream), so you might as well wait for one of the next beta releases to get a slightly more 'final' version.
  • 0

    As a side note, I'm still trying (and failing) to enable both of the WAN connections (domestic Cable and ADSL connections) on the Astaro system to listen simultaneously for incoming L2TP connections.  Have searched and read everything that I can find, only to see some hints that this should be possible.
    Any feedback or testing suggestions would be most welcome - thanks in advance!


    Configure "uplink interfaces" as the interface for the L2TP requests and this shoud works (however, it´s doesn´t listen SIMULTANEOUSLY on both uplinks, it´s a fail-voer mode, i.e. it listens normally only on the first uplink interface, and changes to listen on the second interface as soon as the firts uplink goes down/fails)
  • 0 in reply to Ölm
    Thank you very much for the replies!

    I really appreciate the short summary of the VPN 'Uplink' failover feature - I couldn't seem to find an explanation in the Knowledge Base or other help documentation.
    I was running 7.504 last night, and observed a successful switching to the secondary-WAN listening mode after the primary link went down briefly.  I'll test 7.911 for this too.

    As suggested, I'l wait for the next beta release and then test all the VPN features, especially with the dual WAN config.