How to config vpn

This is also a much needed solution with my clients. I have some that are strongly considering implementing ASL in their companies but require that it be able to authenicate its employees to the Windows 2000 domain. I have also attempted to set up ASL as mention and have also been unsuccessful. I'd really like to see some documentation on configuring if its possible. If not, I will have to seek other alternatives until this comes available in  ASL in the future...I hope.

hi folks!

Seems many of u have the same problem with PPTP VPN as I do.

I installed an ASTARO and enabled PPTP VPN.

I am able to connect (with 2k and W98 Client)and than ping the internal Network but i can't Logon to the NT PDC.

even the shared Folders are unreachable!

Still trying to solve...

  [:S]

Hi all,

I am also facing the same problem....Hopefully the ASL folks will take a look at this.

I have the same problem, and thought I was to stupid to configure it correct - maybe we all are    

Please Astaro staff write/rewrite the PPPT howto.

To all other members - if you have succeeded making a working PPPT connection please make the rest of us happy   [:)]

You probably need to edit lmhosts on the client machines or use a WINS server.

Cecil

Hi Cecil!

I tried the LMHOST - no success. If you have a running configuration - can you please explain how you configured it?

1. How do you assign IP adresses? By giving the users a fixed IP or by the POOL. 
2. Do you assign a special pool?
3. Do you configure special filters?

In my configuration I gave the clients a fixed IP within the LAN.

They where able to ping the LAN and DMZ interface but no other hosts on the LAN or DMZ. Neither they where able to browse the LAN or use any shares. Yet it seemed they where able to browse through the PPTP connection   [:S] 

Any ideas

Regards 
Orm

I have tested a little more. What I found was:

• If the klient gets the IP address from the pool and I have a rule = PPPT-POOL ANY ANY ALLOW the klients cant do anything   [:(]  
  
  
• If I assign a fixed IP within the LAN I'm able to use services on the net - (HTTP, Notes/Domino) access.  [:)] 
  
  
• As Cecil asked us to do I added my server to the LMHOSTS. This does'nt solve any problems (since I'm not able to even ping the host ??)
  [/list]
  
  Is Gert able to help us with this one ?

Hi there guys, 

I have followed the discussions a while, 
but have been very busy bringing you a lot of cool features soon.

I have an idea, but haeven't been able to test it yet.

Lets devide the problem into 4 parts:
1. Setup a working PPTP connection with automatic dialup.
2. Setup Packet Filter Rules to access the domain controller.
3. Authenticate against a windows domain
4. Configure Masquerading and Packet Filter to access the internet during the PPTP Session.

1.1) Setup a PPTP Connection
--------------------------
Go to WebAdmin > VPN > PPTP and activate it.
During the first startup a random network is generated and stored under the name 'PPTP-Pool'.
Please check if this network is already used.

Go to WebAdmin > Definition > Users and add pptp user(s), don't forget to activate the checkbox pptp. 

Now you should be able connect via pptp.


1.2) Configure your Windows PPTP Client
---------------------------------------
Reminder:
Only MSCHAPv2 is supported. Windows 9x System must optain a certain patch availabele the microsoft website.

Windows 2000 supports only 40bit encrytption out of the box. Either get the High Encryption Pack (320KB) or upgrade you system with Service Pack 2, after that your windows 2000 system works only with 128bit encryption.


Log in to your Windows System and open the Network- and RAS-Connection Window and and add a new connection.
Click Next >.
Select make connection to private network over the internet and click Next >.
Choose wether a connection (to th internet) is dialed before connecting the pptp server (!!needed for domain authentication!!) and select that connection or not and click Next >.
Enter the offizial/external ip address of the firewall or the according hostname and click Next >.
Select which user is allowed to use this connection and click Next >.
Enter a name and click Finish.

Now the pptp connection is setup.
Open the properties window of this connection and select the Network Tab.
Select the Point-to-Point-Tunneling-Protokoll (PPTP) in the Type of VPN-Server selection and click Ok.

If you have a working TCP/IP connection to the Astaro Firewall, you are now able to open a pptp connection using username and password added in section 1.1 .

Click Connect and you should be in.


2. Add Packet Filter Rules
--------------------------
Go to WebAdmin > Packet Filter > Rules and add the needed rules.

PPTP-User  Primary Domain Controller
Add and activate 'PPTP-Pool' '{netbios}' 'PDC' 'Allow' and  'PDC' '{netbios}' 'PPTP-Pool' 'Allow'.

PPTP-User  SMTP-Mail Server
Add and activate 'PPTP-Pool' 'SMTP' 'SMTP-Server' 'Allow'.

Make sure that all traffic goes through the same Astaro Firewall.

Now you should be able access the LAN behind the firewall through the PPTP connection.

3. Authenticate against a windows domain
----------------------------------------
Logout your windows 2000 system.
If you see the Login Screen click the Option Button and activate Dial RAS Connection.
Log in as usual.

Now a new window appears, asking to connection the die initial dialup, after that a second window appears, asking to connect the ASL Firewall.

After that the Authenticaton you should be logged in.

But as i said, not tested it is only an idea.

4. Configure Internet Connection during PPTP-Session
----------------------------------------------------
Go to WebAdmin > Network > Masquerading and add 'PPTP-Pool' 'External Interface'.

Go to WebAdmin > Packet Filter > Rules  and add rules to allow the internet access:
'PPTP-Pool' 'HTTP' 'Any' 'Allow'.

Either configure a static nameserver in the Windwos TCP/IP Settings of your PPTP Connection or add the line to ms-dns 192.168.2.1 to the file /var/chroot-pptp/etc/ppp/options-default with the ip adress of an accessable nameserver, the internal interface of the astaro firewall, for example. (don't forget to add 'PPTP-Pool' to the allowed networks in WebAdmin > Proxies > DNS).

Now its late and I am tired.
I hope that little howto helps you the get back on track, if there are furthur questions, don't hesitate to ask.

Thanx for reading

kind regards and good night
gert

Hi Gerd,

I just tried your configurations (pos. 1 to 3) and it worked fine.
Thanks.

Some tips:
1.) If you use a WINS-Server in you W2K oder WIN NT 4 Domain, you must define it in your vpn-configuration:
Network->TCP/IP-Protokoll/Properties->Extended->WINS->ip-adress(es) of you WINS-Server. (hope it´s correct translate, I use a german W2K)

2.) It´s  possible to logon offline without any connection to your domain-controller.
Then you can connect to internet and than to your ASL-BOX with vpn.
W2K uses your login-information at boot-time to connect you to your domain after the connection is established via vpn/pptp (this has nothing to to with authentication to ASL-BOX for pptp).
Import: for your local logon use your domain-name not your local-computer-name at the field "domain".

Same procedure for dns-server.


Greetings 
Martin

Perhaps this should go into a faq or a revised manual as an addendum cause this actually work. The only little setback of this compared to using microsofts vpn solution is that the win2000 machine dialing up MUST be part of the domain already.

Kudos to you for the setup.
  [:)]