Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 10759 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cannot access LAN from PPTP VPN connection

joe90
Hi,
I've seen this one a few times in the forums.

I successfully connect via PPTP and the client is assigned an IP from the pre defined Astaro VPN pool.

But I cannot ping any hosts on the internal LAN from the client. Until I add a new static route as follows:

route add 192.168.1.0 mask 255.255.255.0 10.242.1.2

after adding this I can access any host on the internal LAN.

I've tried a couple of things such as adding a NAT/masq from VPN pool -> internal but with no effect(I don't think it should be necessary anyway).

My vpn client is set to use the default gateway on remote network.

PF rules must be OK or I couldn't access even after adding static route at client.

Any ideas please???



Joe
Astaro 120 v7.08


This thread was automatically locked due to age.
Parents
  • 0
    My vpn client is set to use the default gateway on remote network.

    If this is true then you do not need any additional routes (route add.....)

    Did you tried "route print" before adding a static route at the client ?
  • 0 in reply to ClausP
    I tried the route print with the following results.



    Active Routes:
    Network Destination        Netmask                   Gateway       Interface  Metric
    0.0.0.0                        0.0.0.0                       10.242.1.2      10.242.1.2       1
    0.0.0.0                        0.0.0.0                       192.168.1.1     192.168.1.4       26
    10.242.1.2                   255.255.255.255        127.0.0.1       127.0.0.1       50
    10.255.255.255  255.255.255.255       10.242.1.2      10.242.1.2       50
    80.177.28.117  255.255.255.255      192.168.1.1     192.168.1.4       25
    127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1

    192.168.1.0    255.255.255.0      192.168.1.4     192.168.1.4       25

          192.168.1.4  255.255.255.255        127.0.0.1       127.0.0.1       25
        192.168.1.255  255.255.255.255      192.168.1.4     192.168.1.4       25
            224.0.0.0        240.0.0.0      192.168.1.4     192.168.1.4       25
            224.0.0.0        240.0.0.0       10.242.1.2      10.242.1.2       1
      255.255.255.255  255.255.255.255       10.242.1.2      10.242.1.2       1
      255.255.255.255  255.255.255.255      192.168.1.4               2       1
      255.255.255.255  255.255.255.255      192.168.1.4     192.168.1.4       1
    Default Gateway:        10.242.1.2

    I manually add this route to access my LAN:-
    route add 192.168.1.0 mask 255.255.255.0 10.242.1.2


    This route isn't there, shouldn't this be set up automatically?
  • 0 in reply to joe90
    2nd Line !! -> 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.4 26

    Your PC has allready an interface (192.168.1.4)

    Delete all unnecessarily and manually added routes.
  • 0 in reply to ClausP
    192.168.1.4 is the client PC IP DHCPed from the wireless router, so this route will not lead to my LAN.
  • 0 in reply to joe90
    192.168.1.4 is the client PC IP DHCPed from the wireless router, so this route will not lead to my LAN.


    That is the problem. Your client is already part of the network 192.168.1.0 so pakets to your 2nd 192.168.1.0 would not be routed via the def. GW.

    Change DHCP IP Address range of your wireless router and then you do not need any additional route.
  • 0 in reply to ClausP
    Good call!!
    Changing the DHCP IP address range of the router solved this problem.

    Many Thanks
    Joe
  • 0 in reply to joe90
    Hi,

    I read this with attention, and i have the same problem. But changing the DHCP range isn't so easy. The main LAN is 192.168.1.0, which is very widely used... And indeed I've got the same at home. The easiest should be to change the dhcp range at home, but then, what about the other users? There are not System admin, and i would never ask them to check DHCP range at home and change it if needed...
    And changing the DHCP range at work mean that i have to change all servers IP, VoIP phone IP and so on... Hard work...

    No other solution?

    Nico
  • 0 in reply to nda
    Hi,

    I read this with attention, and i have the same problem. But changing the DHCP range isn't so easy. The main LAN is 192.168.1.0, which is very widely used... And indeed I've got the same at home. The easiest should be to change the dhcp range at home, but then, what about the other users? There are not System admin, and i would never ask them to check DHCP range at home and change it if needed...
    And changing the DHCP range at work mean that i have to change all servers IP, VoIP phone IP and so on... Hard work...

    No other solution?

    Nico


    192.168.x.x probably wasn't the greatest choice for a business network. Try using the 10.x.x.x next go around. 

    The question was is there a better solution. Probably not. I do not know how many clients you're supporting so I will use my day job as an example. We have 1700 users. If even a fraction of them, lets say 100 are using the client to login then I will probably have to walk each of those people through how to change their home setup 2 to 10 times each. How much time is that going to take? How much is your time worth? Plus you have all the mobile users that will probably be accessing the network from cafes etc, and there is no easy way of helping them.

    I setup my small network with a 172.16.x.x address and have all VPN-SSL/PPTP connections on different 10.x.x.x address ranges. This seems to work just fine. You can do this by going to the definition of the network you want to change, click on edit, then change the IP.

    Now, Im basically asleep while I'm typing this so if it doesn't make sense I'm sorry... I'm off to bed, peace!
Reply
  • 0 in reply to nda
    Hi,

    I read this with attention, and i have the same problem. But changing the DHCP range isn't so easy. The main LAN is 192.168.1.0, which is very widely used... And indeed I've got the same at home. The easiest should be to change the dhcp range at home, but then, what about the other users? There are not System admin, and i would never ask them to check DHCP range at home and change it if needed...
    And changing the DHCP range at work mean that i have to change all servers IP, VoIP phone IP and so on... Hard work...

    No other solution?

    Nico


    192.168.x.x probably wasn't the greatest choice for a business network. Try using the 10.x.x.x next go around. 

    The question was is there a better solution. Probably not. I do not know how many clients you're supporting so I will use my day job as an example. We have 1700 users. If even a fraction of them, lets say 100 are using the client to login then I will probably have to walk each of those people through how to change their home setup 2 to 10 times each. How much time is that going to take? How much is your time worth? Plus you have all the mobile users that will probably be accessing the network from cafes etc, and there is no easy way of helping them.

    I setup my small network with a 172.16.x.x address and have all VPN-SSL/PPTP connections on different 10.x.x.x address ranges. This seems to work just fine. You can do this by going to the definition of the network you want to change, click on edit, then change the IP.

    Now, Im basically asleep while I'm typing this so if it doesn't make sense I'm sorry... I'm off to bed, peace!
Children
No Data