Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 1579 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec - confused

C0NTR0L
Hi All,
I'm hoping someone can help me with this.

I have ASL 4.016 running with three interfaces: Internal, External, DMZ and the external IF has a static address.  My problem is with dropped traffic from a RoadWarrior IPSec VPN connection.  I'm using x509 certs for auth.

Scenario 1:
 Endpoint Definition 
Local Endpoint : External
Remote Endpoint : Any
Auto Packet Filter : ON

 Subnet Definition 
Local Subnet : Internal Network
Remote Subnet : None

 Remote Keys 
My_Key using virtual IP 10.12.2.224, Auto packet filter is OFF and I have used the Packet Filter interface to add a wide open rule (for testing) that says allow any to any from IPSec_My_Key.

Using this config the VPN connection is established from the client with no problem.  Once the connection is established I am not able to ping any of the IPs on the internal net, can't do nslookups using an "internal" name server, etc.  The only dropped traffic I see in the logs is from my virtual IP to an internal host on port 137 UDP.

 Second Config 
If I choose not to use a virtual IP, I can ping to the Internal net and everything works fine.

I want to use virtual IPs to have more control over the rules.  Does anyone have any suggestions?

Thanks,
Clay  


This thread was automatically locked due to age.
Parents
  • 0
    Is the virtual IP part of your internal IP pool? If so, you have to turn on proxy arp on your external Interface.
      
  • 0 in reply to bagira
    I've successfully established a connection with the VPN client using an address that's part of the internal range.  And, again I can ping hosts on the same internal subnet but not hosts in other subnets (i.e. DMZ hosts).  I've read in the documentation that it's recommended to use virtual IPs that are not part of any defined network.  Trying this results in not being able to establish a VPN connection from the client.  Using SSH Sentinel, the diagnostics report that all phases passed and that I can connect, but when trying to actually connect it just fails.  
Reply
  • 0 in reply to bagira
    I've successfully established a connection with the VPN client using an address that's part of the internal range.  And, again I can ping hosts on the same internal subnet but not hosts in other subnets (i.e. DMZ hosts).  I've read in the documentation that it's recommended to use virtual IPs that are not part of any defined network.  Trying this results in not being able to establish a VPN connection from the client.  Using SSH Sentinel, the diagnostics report that all phases passed and that I can connect, but when trying to actually connect it just fails.  
Children
No Data
Cookie Information Banner