Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 1700 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC Roadwarrior - Possible Routing Problem

shultzm
I finally got my IPSEC client to site connection working.  The problem is, after the connection completes, almost nothing is routed.  I can ping the internal interface of the ASL box and can train a web browser onto  it but I can't get anything beyond that.  Can't ping any of the internal workstations/servers can't hit the internal webserver, nothing.

While I was testing, I was watching the IPSEC log and the Packet Filter log with nothing interesting showing up.  I reviewed the IPSEC log to the best of my knowledge and everything looks good.  The routes appeared to be added and full IKE handshake went through.  Attached is the relevant portion of the IPSEC log.


Does it look ok?  Do you have any suggestions?

Thanks.


This thread was automatically locked due to age.
Parents
  • 0
    I ran into similar problems while first setting up my VPN.  We use IPSEC/L2TP for connecting remote windows clients to the network.  We changed our configs a number of times, tweaking it as needed. 

    But to get started, do you have any NAT rules setup for your incoming connections?  For instance, I have 2 rules for each connecting user.  NAT 1 INTERNAL: L2TP user --> Internal Network / Any service - MASQ on Internal.  NAT 2 EXTERNAL: L2TP user --> Any/All - Masq on External. 

    Then in the client setup we select the box to use the default gateway on the remote network while connected.  I think it's under advanced tcp/ip properties...assuming you're connectiong from an XP box.

    Hope that helps,
    Claud1e
  • 0 in reply to claud1e
    [ QUOTE ]
    Then in the client setup we select the box to use the default gateway on the remote network while connected.  I think it's under advanced tcp/ip properties...assuming you're connectiong from an XP box.

    [/ QUOTE ]
    Please explain this more.

    I tried setting up the NAT rules with no change.  Still can ping the router's internal but nothing else.
  • 0 in reply to shultzm
    OK...let's backup just a little. 

     Are you using Windows XP Pro as your clients?  Are you connecting with L2TP over IPSEC with a preshared key?  Are you using any VPN client software or using what is built in to XP?

    Let me know.
    Thanks,
    Claud1e
  • 0 in reply to claud1e
    heh, yeah, I guess that would be important info.

    The clients are Windows XP.  I am not running L2TP or PSK.  I am running IPSEC with x.509 certs.  The client machines are using SafeNet SoftRemote as their clients.
  • 0 in reply to shultzm
    Ahhhh....

    That's where I will have to bow out, sorry.  I haven't had any experience with x509 certs or safenet.

    I suspect somebody in the forums here can help you though.  From your basic desription it seems as though there is indeed a routing problem of some sort.  Once connected what do the clients show when doing an ipconfig /all and route print?  Do they have valid IP's, Gateways, and routes?

    Thanks,
    Claud1e
  • 0 in reply to shultzm
    After digging through the manual for the zillionth time, I found this:

    [ QUOTE ]
    You cannot use local IP addresses for the Virtual IP address,
    because the security system does not answer ARP requests for these.

    [/ QUOTE ]

    I have used the subnet of 172.16.0.x for my virtual adresses.  Will this cause a problem?  Why would I use a public IP for the virtual address?  Wouldn't that just cause problems?

    I also have this route listed, maybe it'll help.

    [ QUOTE ]
    192.168.0.0/24:0 -> 172.16.0.12 => tun0x1010@X.X.80.4<> />
    [/ QUOTE ]
  • 0 in reply to claud1e
    [ QUOTE ]
     Once connected what do the clients show when doing an ipconfig /all and route print?  Do they have valid IP's, Gateways, and routes?

    [/ QUOTE ]
    The client shows nothing related to the VPN tunnel.  Yet, I can ping the router's internal interface.  Weird.
  • 0 in reply to shultzm
    Hi,

    could it be, that you turned auto_packetfiltering off?
    Would explain, why you cant ping ther internal interface. 

    Chris
  • 0 in reply to NimmdirKeks
    [ QUOTE ]
    could it be, that you turned auto_packetfiltering off?
    Would explain, why you cant ping ther internal interface. 

    [/ QUOTE ]
    Auto packet filtering is turned off but I have an explicit rule to allow all traffic from the IPSEC clients.  And I can ping the routers internal interface, just nothing beyond it.

    And I have found a route on my client machine for the internal interface of the router.  It appears to point to my virtual IP for the VPN tunnel.

    [ QUOTE ]
    192.168.0.1   255.255.255.255   172.16.0.12

    [/ QUOTE ]

    So if that really is pointing to my virtual IP on my client machine, then that would explain why I'm getting responses from the router(which is infact my client machine, not the router).

    This tech is messed up.
  • 0 in reply to shultzm
    Hi,

    the route is a host route, not a network route. 

    Think theres your trouble. You normaly should see a routing entry like 192.168.0.0 255.255.255.0 172.16.0.12 on the client which means, that all packets to 192.168.0.0 are send to the clients ipsec device, thats is bound to 172.16.0.12.
    Could it be, that the target/remote subnet of you config is wrong?
    (I guess the 192.168.0.1 is the Astaro internal interface?)

    Chris
  • 0 in reply to NimmdirKeks
    [ QUOTE ]
    Could it be, that the target/remote subnet of you config is wrong?

    [/ QUOTE ]
    Yes, this was the problem.  After some time spent with SafeNet support, all works well.  Thank you very much.
Reply Children
No Data
Cookie Information Banner