Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 2085 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

can't get internet access to vpn clients in dmz

amp10000
 just set up a dmz segment for wireless clients on astaro version 5. The xp clients in the dmz simpley select log on using dial up connection. This in turns kicks off a l2tp vpn connection that I've already configured. The problem is I can't seem to get internet access working in the dmz everything else works great all of the drive mappings are function outlook is pulling up mail from the exchange servers fine also. Can someone here tell me what I my be over looking.


This thread was automatically locked due to age.
Parents
  • 0
    How is your browsing implemented?
    HTTP Proxy or rules??
  • 0 in reply to SecApp
    I'm using http proxy on the lan side. I also went back and created a masquerading rule for the ipsec pool and the wan interface. After I created the masquerading rule I was finally able to ping web sites link google or yahoo, but  surfing form internet explorer was still  a no go. Do you think this cound be a routing problem? By the way let me post my ip address layout. Ok lan is lets say 192.168.1 dmz is 192.168.30 the l2tp vpn pool is 10.X.X.X. I know routing may not have anything to do with this but at this point any thing is worth checking. 
  • 0 in reply to amp10000
    I was able to finally get internet access to the vpn clients i n the dmz. I had to change a packet filter rule. I had ipsec pool accessing any service on the internal lan that of course did not work. I change it to ipsec pool >>any>>any. After I made this change http access worked but I'm cunfused why did my first rule not work? It would seems that it would should have worked fine.
  • 0 in reply to amp10000
    But the IP you want to get to is not on the LAN, but somewhere out on the Internet; so why would permitting just to the Internal LAN get you there?

    Unless you're thinking that if the packets get to the Internal LAN, they can then 'hop a ride' on the http proxy. But the proxy will only service the packets whose source is the Internal LAN; that is by architectural design -sort of 'default deny'...
  • 0 in reply to SecApp
    Well this is the orginal rule I was using. 
    source=ipsecpool service=any action=allow destination=internallan



    I was thinking more on the lan side. When I log into our domain the dns servers are set to forward all none lane request to the dns proxy on the astaro box. It than goes out and resolves the querys. Well I logged into the windows domain via a vpn so I figured since I was on the domain that dns would work the same way in reoving internet names. I had to go back and add this rule for internet access to work 
    source=ipsecpool service=any action=allow destination=any.

    Why did I have to put destination = any I tried putting destination=wan and it did not work. Now since I have http access I 'm trying to figure out how to get the proxy to work for the vpn clients.
Reply
  • 0 in reply to SecApp
    Well this is the orginal rule I was using. 
    source=ipsecpool service=any action=allow destination=internallan



    I was thinking more on the lan side. When I log into our domain the dns servers are set to forward all none lane request to the dns proxy on the astaro box. It than goes out and resolves the querys. Well I logged into the windows domain via a vpn so I figured since I was on the domain that dns would work the same way in reoving internet names. I had to go back and add this rule for internet access to work 
    source=ipsecpool service=any action=allow destination=any.

    Why did I have to put destination = any I tried putting destination=wan and it did not work. Now since I have http access I 'm trying to figure out how to get the proxy to work for the vpn clients.
Children
  • 0 in reply to amp10000
    If the DNS proxy is configured to resolve names for the DMZ network, it will service those name queries; but at the end of the day to visit a web site the http packets will have to get from here (DMZ) to there (Internet: Any). Just because your browser knows the ip address to use to get to some website, doesn't insure that it will be able to send packets to that web site.

    The proxy has an allowed networks setting, I believe. So add the DMZ to it...