Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1053 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

enabling vpn shuts off all other packets

jackangel
i've got a following configuration:
local endpoint: ext interface
remote endpoint: remote server address
local subnet: one ip address, not existing physically (i want to dnat packets fro m here)
remote subnet: any 

is this right for following needs?
i need any client connecting to remote server dnatted to this local machine, which is another server, and then connected to the server in this machine's local network
so: clientremote_servervpnlocal_firewallserver_in_localnet

when i install such configuration and enable vpn on both local machine and remote server, the local machine stops responding to the plain connections (e.g. ssh, webadmin), though remote machine's displays in its' webadmin that vpn route is established. maybe it has something to do with remote subnet = any, but my friend told me to set it to any.
what am i doing wrong?
 
also, may anyone tell me why there are only standard ethernet interfaces, and no additional ip addresses on ethernet interfaces listed available in local endpoint list?


This thread was automatically locked due to age.
Parents
  • 0
    Turn off "Deny Split Tunneling" in the VPN connection settings on the client.  

    Define a "Network" on the client, describing the network you want to VPN to.. ie. 192.168.1.0/255.255.255.0, now specify a Virt. IP outside your internal subnet. If your internal subnet is a 192.168.1.0, then your Virt. IP has to be 192.168.(2-254).0

    Specify on the server in the VPN connection, "Remote Endpoint -> External Interface" and the "Local Subnet -> Internal_network"

    If you are still not having any luck, reply with your configuration settings for both the client and server.
  • 0 in reply to MadHakish
    i don't see "deny split tunneling" in the options (asl 4.008)
    the detailed config is so:
    i've got a lan behind a firewall running asl, let's call the firewall lan_firewall
    inside a lan i've got a server, let's call it lan_server
    in the different city, i've got a single server, let's call it far_server
    i want the following:
    client sends request to far_server on port 80
    this far_server has a vpn route established with lan_firewall
    i don't need to connect far_server to lan, just to the lan_firewall
    on the lan_firewall part of the vpn, i specify as the local subnet some fictional ip address (e.g. 192.168.66.6), let's call it vpn_int
    so the request from client gets DNATted to the vpn_int address
    packet would be sent thru the vpn, if i'm not mistaken
    it arrives to the lan_firewall, and is immediately DNATted again, now to the lan_server (vpn is not in use in this part of the way).
    then lan_server sends the result back thru the lan_firewall, which sends it back thru the vpn to the far_server and it sends it to the client, client thinking that the far_server processed his request by itself (e.g., traceroute shouldn't go to the lan_server)

    the detailed vpn configurations as i did it:
    on far_server:
    local endpoint=external_interface
    remote endpoint=lan_firewall
    local subnet=any (i'm not sure about it but my friend told me this)
    remote subnet=vpn_int (e.g., 192.168.66.6)

    on lan_firewall
    local endpoint=external_interface
    remote endpoint=far_server
    local subnet=vpn_int
    remote subnet=any

    when i enable vpn on both ASLs, the lan_firewall stops responding to any connections, and far_server reports that vpn route is established successfully (route appears in webadmin)

    what am i doing wrong, and all this stuff ok? if not, what should i do?  
Reply
  • 0 in reply to MadHakish
    i don't see "deny split tunneling" in the options (asl 4.008)
    the detailed config is so:
    i've got a lan behind a firewall running asl, let's call the firewall lan_firewall
    inside a lan i've got a server, let's call it lan_server
    in the different city, i've got a single server, let's call it far_server
    i want the following:
    client sends request to far_server on port 80
    this far_server has a vpn route established with lan_firewall
    i don't need to connect far_server to lan, just to the lan_firewall
    on the lan_firewall part of the vpn, i specify as the local subnet some fictional ip address (e.g. 192.168.66.6), let's call it vpn_int
    so the request from client gets DNATted to the vpn_int address
    packet would be sent thru the vpn, if i'm not mistaken
    it arrives to the lan_firewall, and is immediately DNATted again, now to the lan_server (vpn is not in use in this part of the way).
    then lan_server sends the result back thru the lan_firewall, which sends it back thru the vpn to the far_server and it sends it to the client, client thinking that the far_server processed his request by itself (e.g., traceroute shouldn't go to the lan_server)

    the detailed vpn configurations as i did it:
    on far_server:
    local endpoint=external_interface
    remote endpoint=lan_firewall
    local subnet=any (i'm not sure about it but my friend told me this)
    remote subnet=vpn_int (e.g., 192.168.66.6)

    on lan_firewall
    local endpoint=external_interface
    remote endpoint=far_server
    local subnet=vpn_int
    remote subnet=any

    when i enable vpn on both ASLs, the lan_firewall stops responding to any connections, and far_server reports that vpn route is established successfully (route appears in webadmin)

    what am i doing wrong, and all this stuff ok? if not, what should i do?  
Children
  • 0 in reply to jackangel
    I would like to see your packet filter logs and VPN logs as well.. Also can you provide the D/SNAT rules you are using for port-forwarding? I suspect there is an issue there..

    Your IPSec connections should be configured as follows
    far_server
    Local Endpoint = External Interface
    Remote Endpoint = lan_firewall
    Subnets = None

    lan_firewall
    Local Endpoint = External Interface
    Remote Endpoint = far_server
    Subnets = None

    and make sure each side is using NAT Transversal.

    This is a host  host connection and does not need to know about subnets, the IPSec routing takes care of making sure the packets get back and forth.  
Cookie Information Banner