Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 1 subscriber
  • Views 6145 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

v7.x L2TP VPN instability

Hansi
Senario:
Astaro v7.003 (and earlier v7.x)
Tested with a 220 appliance and a software version.
XP Sp2 L2TP client is used.

Setting up and making a connection doesn't cause any problem. This works just fine (since the wrong pool issue seems to be fixed in v7.003).
I can leave a ping on though the tunnel to internal hosts for hours and the connection still works fine. But as soon as I put some heavier load though the tunnel the traffic stops. The connection is still up according to both server and client. But all traffic through the tunnel is gone. I've looked at the live log to see if the server actually drops the traffic on purpose, but I can't see anything that will indicate that. I don't have any intrusion protection activated so it can't be such an issue either.

This is starting to get frustrating since I have a handful of clients with v6.x boxes out there that are waiting to be upgraded to v7.


This thread was automatically locked due to age.
  • 0
    Thanks for reporting this issue. I have reproduced this problem in our lab, and we are currently working on a solution.

    Stephan
  • 0 in reply to Stephan_Scholz
    Thank you for a quick response.

    Although, I'm quite puzzled that nobody seen this before and reported it. Doesn't anybody use the L2TP VPN function in Astaro? [;)]


    /Hansi
  • 0 in reply to Hansi
    Why should you use L2TP when you got SSL VPN for free??
  • 0 in reply to NimmdirKeks
    Why should you use L2TP when you got SSL VPN for free??


    XP comes with a L2TP client that can be used with Astaro. So if you already got a client machine with XP you could say that the VPN option is "free" too.

    And since the SSL option was introduced in v7.x you really didn't have any other good "free" VPN option in v6.x. So telling a client that if they want to upgrade to v7.x they also have to call in all field sales staff to change their VPN-client too. Alternatively make an instruction for the sales staff so they can reconfigure their laptops on their own. I hardly see this as a "free" option. There's a lot of time involved in such a change.

    Staying with L2TP on v7.x means no reconfiguration on the client side what so ever.

    /Hansi
  • 0
    Hansi,

          When you were conducting your VPN L2TP tests, did it take a couple of tries to connect to your firewall? In your post you mention that there was not a problem but I am having had problems with the L2TP connection not establishing the connection right away or sometime the connection would drop out after 5 min. There is no problem with the connection when I connect to my 6.304 box and I am using the same computer to connect to the different versions. 

          I wanted to see if you ran into this problem when you were troubleshooting/testing your firewall.


    Griff
  • 0 in reply to Griff
    Griff,

    I did quite a few connection tests. Since the traffic stopped as soon as I put some load thought the tunnel I tested this over and over again. I did not see any problem what so ever during the actual connection phase. I had a 10 out of 10 success to connect.


    /Hansi
  • 0 in reply to Hansi
    Hansi,

          Thanks for the update.

    Griff
  • 0 in reply to Hansi
    XP comes with a L2TP client that can be used with Astaro. So if you already got a client machine with XP you could say that the VPN option is "free" too.

    And since the SSL option was introduced in v7.x you really didn't have any other good "free" VPN option in v6.x. So telling a client that if they want to upgrade to v7.x they also have to call in all field sales staff to change their VPN-client too. Alternatively make an instruction for the sales staff so they can reconfigure their laptops on their own. I hardly see this as a "free" option. There's a lot of time involved in such a change.

    Staying with L2TP on v7.x means no reconfiguration on the client side what so ever.

    /Hansi



    Correct me if I am wrong, but since L2TP uses UDP as its tunneling protocol combined with IPSEC, wouldn't this make it faster then SSL? Just a thought unless I am wrong.
  • 0 in reply to Blueeyed.1978
    No. 

    Most noticable difference between those 2 is that SSL uses AES wich is about 40% faster then 3DES.
  • 0 in reply to Hansi
    XP comes with a L2TP client that can be used with Astaro. So if you already got a client machine with XP you could say that the VPN option is "free" too.

    And since the SSL option was introduced in v7.x you really didn't have any other good "free" VPN option in v6.x. So telling a client that if they want to upgrade to v7.x they also have to call in all field sales staff to change their VPN-client too. Alternatively make an instruction for the sales staff so they can reconfigure their laptops on their own. I hardly see this as a "free" option. There's a lot of time involved in such a change.

    Staying with L2TP on v7.x means no reconfiguration on the client side what so ever.

    /Hansi

    The SSL VPN is easy to "roll out" using the END User Portal and as "NimmdirKeks" rightly says the SSL use AES Rinjael which is way faster on the DECRYPT algorithm and uses compression also, and is cross platform ...on Linux, MacOS X, BSD or Solaris ...as well as Windows, migrate users as the problems arise to get a phased transition ? (depend on users and how many I suppose)
Cookie Information Banner