Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 2415 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

PPTP problem - ASL 4.017 Office Licence 4 home use

Knocke
Everything did like in manual, only local (connected to Astaro) neworks are able to accessed via PPTP tunnel from client. 
The Internet doesn't work - masquarade works, connections work too, but no (or almost no) traffic is being able to be sent - sessions are ended because of timeouts. Nothing like that happens with accessing local nets. 

Where should I look for further?  


This thread was automatically locked due to age.
Parents
  • 0
    Are your packet filters set to allow the PPTP traffic through?

    I use these two lines:

    Any   PPTP   Any   Allow
    Any  GRE  Any  Allow

    The PPTP service port only does link control messaging.
    The GRE service port handles the link payload.

      
  • 0 in reply to VelvetFog
    it may be that, but I'm afraid I don't fully understand what you mean quoting your rules. I use only one rule i Packet Filter: 
    From: PPTP-Pool 
    Service: Any
    Server: Any
    Action: Allow 

    How should I set the GRE rule? Doesn't this protocol belong to the "any" service group? 

    I'll be very grateful for your further comments. 

    hk  
  • 0 in reply to Knocke
    Your rule allows the packets from inside a working tunnel to go where they need to go. I have a rule like that as well.

    The two additional rules shown in my previous memo allow the services that create and operate the PPTP tunnel to get through the packet filter.

    If the PPTP and /or the GRE packets don't get through, you won't have a functioning PPTP tunnel.

    I used to have a catchall statement of:

    Any  Any  Any  Allow

    at the bottom of my filter list. Once I removed that one (on advice  in this forum, it being a general security risk), I found that I had to be very meticulous about defining exactly the services that I wished to accept.
       
  • 0 in reply to VelvetFog
    You were right abiut that GRE service - one of the routers in the network (not the ASL) didn't forward it, so massive traffic couldn't work properly, even thou interactive traffic was ok :-)   
Reply Children
  • 0 in reply to Knocke
    Yes, I've been there. I also had the GRE traffic blocked by a front end router when I first tried to get PPTP to work. 

    Without the GRE port open (port 47), the tunneling attempts will look fine in the logs, you are authenticating OK, logging in and out,  but packets are not traversing the tunnel.

    So, is your PPTP tunnel working OK now?
      
  • 0 in reply to VelvetFog
    sometimes it is working, sometimes not. 
    Some things had been set up to complicate (not talking about ASL itself) to debug it easily. But thanks for suggestions. 
    If I happen to have some more accurate questions I'll ask again :-)  
  • 0 in reply to Knocke
    PPTP uses Port 1723 using protocol 6 (TCP)
     and Protocol 47 (GRE)

    IPSec uses port 500 using protocol 17 (UDP)
     and Protocol 50 (ESP), and Protocol 51 (AH)

    When you're building yor packet filter rules. Don't bother setting up rules for Port 47. 
Cookie Information Banner