Problems getting IPSEC to work on LAN...so close

Can't anybody help me with this please?  Does anyone out there IPSEC from one subnet of astaro to another (like wireless to wired) and if so what do you use as the endpoint?
Is it the external IP or the internal IP?   Does your external internet still work when you get IPSEC connected?

thanks,
-roman   

Can't anybody help me with this please?  Does anyone out there IPSEC from one subnet of astaro to another (like wireless to wired) and if so what do you use as the endpoint?
Is it the external IP or the internal IP?   Does your external internet still work when you get IPSEC connected?

thanks,
-roman   

Can you manually add the routes to fix it ? 

Yes!
I think you are on too something here, I have been doing a lot of troubleshooting and headbanging (not the heavy metal kind) and I have noticed the following key piece of information:

When my IPSEC endpoint is on the LAN interface and I establish a connection under the connections link in webadmin I see the follwing line added under routes:  

"4          172.16.100.0/24    -> 192.168.100.3/32   => tun0x101c@192.168.100.3"

Under this situation the IPSEC traffic works, but the machine loses its route to the outside/internet....

when I make the endpoint my DSL Modem interface I seem to connect to IPSEC, my internet access is still working, but there is no route entry under IPSEC connections.  

I have no idea how to add manual routes yet, but I will check it out.  It seems to me though that many people are successfully doing what I am attemtiong to do here (IPSEC over wireless into the LAN) and I am surprised I am the only one having these problems/questions as I've scoured the boards with no luck.

thanks for your suggestion simon, I will let you know how the routes turn out  

Ok,
so I've figured out that IPSEC needs to connect on the External/DSL interface and that the problem lies with routes, but how I fix this I have no idea.  I couild really use someone help on this, please.  My ultimate question is how to I manually (or automatically) add a route for my VPN???

Here are all the details/troubleshooting I could gather:
IPSEC SETUP:
Nat_T enabled (for outside access)
Type: Road warrior
Local Endpoint:  DSL Interface
Local Subnet:  ETH0/LAN_Network

When I am on my wireless network (ETH1) and I establish a connection from laptop to firewall the connection is established fine.  The routes on laptop also seem to be set up correctly:

%route -n (on laptop)

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 ipsec0
172.16.100.0    192.168.100.1   255.255.255.0   UG    0      0        0 ipsec0
0.0.0.0         192.168.100.1   0.0.0.0         UG    0      0        0 eth1

the routes on the firewall though are like this:
10.4.33.1       0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
10.4.33.1       0.0.0.0         255.255.255.255 UH    0      0        0 ipsec0
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth1
172.16.100.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         10.4.33.1       0.0.0.0         UG    0      0        0 ppp0


Under IPSEC Connections menu it says ':: No VPN routing information is available ::'  Normally when IPSEC does work I know there is an entry here (see post above)....

After establishing the connection described above I notice I lose all access to eth0 subnet (normally I allow some things from eth1 (wireless) to eth0 (wired) through packet filters).  Dropping the route through ipsec to eth0 (172.16.100.0/24)  I notice that my ping access is back but IPSEC stuff is of course not working.

This leads me to believe that Astaro is not settting up proper(any) routes.  Ohh can't somebody be nice and tell me how to fix this, please.  I hope I have provided every detail necessary.... 

thanks in advance,
-roman  

When you setup a VPN client to a roadwarrior connection in makes the clients default gateway = the VPN link.
All traffic tends to go down the VPN.

What you need to do is add a route on the client box that says:
DEST 0.0.0.0 MASK 0.0.0.0 GATEWAY IP-OF-LAN-Card

You should already have a route for the VPN which will look like:
DEST IP-OF-VPN-LAN MASK 255.255.255.0 IP-OF-IPSECINTERFACE.

Once the 0.0.0.0 route is added VPN traffic will go via the VPN and LAN traffic will head out your NIC as per normal.
 

Simon, 
I think what you are speaking of is PPTP or perhaps an IPSEC  client other than freeswan.  You will see in my posts above  that the clients getways are set up just fine.  It is the routes on astaro that seem to not be working.   I am now very familiar with wthis as I have tried about a million variation of setups.  Basically my IPSEC server is working just fine when I IPSEC from the outside worl.  When it is working there is a route entry in the VPN Routes on Astaro, when I IPSEC through the DMZ then the route is simply not there on astaro.              

I have tried adding a manual route but I don't see how I can do that for a RoadWarrior VPN connection.  At this point I believe it to be either a bug in Astaro or a fendumental flow in my understanding of how IPSEC is supposed to work.  I was hoping one of the Astaro people could answe this for me.

thanks,
-roman