Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 1 subscriber
  • Views 8871 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

should i have to add NAT rules for vpn clients??

h3mp
I dont understand why I had to do this to get it to work..

my internal network is on 10.0.0.0/8
externally i'm using 1 real IP address,

under NAT, i have one rule: Internal -> external

after enabling both SSL and L2TP VPNs i found clients could only access the gateway itself and nothing internal to the network, so i added 2 rules in the NAT config:
VPN pool (ssl) -> Internal
VPN pool (L2TP) -> Internal

This appears to fix it and everything works fine... - but this seems wrong to me, i dont need any translation between this end of the VPN tunnel and my network?? - it should just be direct...?


This thread was automatically locked due to age.
Parents
  • 0
    Unless you're using 'auto packet filter rules', then you need to create packetfilter rules to allow whatever traffic you need.
    (The default policy is drop.)

    Although you've found a way around that with NAT, that wouldn't be the recommended solution.

    If you want to keep it simple, you can use the VPN configuration's auto packet rules setting, otherwise, create rules manually.

    Barry
  • 0 in reply to BarryG
    ok,

    If i turn off my strange NAT rule,

    then for L2TP there is no automatic filter rule option unfortunatly..

    so i go to network security/packet filter
    add new rule: 
    VPN pool (L2TP) (10.242.3.0/24)-> any -> Internal Network (10.0.0.0/8)

    Is this the correct rule? it doesnt work for me..

    I can connect the vpn, i can ping the internal IP of the ASG (10.0.0.199), but i cant ping anything internal on the network (I have ICMP allowed, and it did work with the odd nat setting turned on)

    help!?
  • 0 in reply to h3mp
    Is the Astaro the default gateway for the computers in the Internal network?
  • 0 in reply to dilandau
    I see the problem. The VPN pool overlaps with your internal network so the machines on the local network think the VPN machine is local. This is why it works when you add the NAT rule. Either keep the nat rule or change the network for the l2tp pool to a different network range.
  • 0 in reply to dilandau
    i see [:)]

    yes - our network here is very simple - we are just using the ASG as the default gateway for everyone.

    being we just have one big subnet here (10.0.0.0/8) is the answer to change the VPN pool network (10.242.3.0/24) to simply be on an alternate private ip address range?? - i.e. 192.168.1.0/24???

    Or would it be better to get a Layer3 switch to use as the default gateway and actually put the ASG on a different subnet to the rest of the internal dekstops?
  • 0 in reply to h3mp
    changing the the vpn pool to 192.168.1.0 should fix the problem. Also, make sure you have a packet filter rule to allow the traffic from the vpn pool to the internal network.
  • 0 in reply to dilandau
    doesn't appear to work [:(]

    would i have to add a static route somehow to route this 192.168 subnet to the "internal" nic card??
  • 0 in reply to h3mp
    You shouldn't need any static routes if the computers on the internal network have the astaro set as their default gateway. 

    What is the local network for the computer you are testing from, its not 192.168.1.x is it? If it is make sure that the vpn pool is not the same network, as the remote machines local internal network.
  • 0 in reply to dilandau
    :-|
    ok, it's like this:

    laptop connected to wireless router which is directly on internet:
    ip:192.168.1.103
    mask: 255.255.255.0
    gateway: 192.168.1.1

    Astaro box:
    External connector - real internet IP
    Internal connector: 10.0.0.199
    nat rule set for internal -> external
    filtering set currently for any/any/any

    I created a VPN pool of 172.16.254.0/24 for L2TP

    i start the vpn,
    laptop (windows) gets these settings:
    IPv4 Address. . . . . . . . . . . : 172.16.254.2
    Subnet Mask . . . . . . . . . . . : 255.255.255.255
    Default Gateway . . . . . . . . . : 0.0.0.0

    [FONT="Courier New"]routes:
    Network Destination        Netmask          Gateway       Interface  Metric
              0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.103   4255
              0.0.0.0          0.0.0.0         On-link      172.16.254.2     26
            127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531
            127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531
      127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
         172.16.254.2  255.255.255.255         On-link      172.16.254.2    281
          192.168.1.0    255.255.255.0         On-link     192.168.1.103   4511
        192.168.1.103  255.255.255.255         On-link     192.168.1.103   4511
        192.168.1.255  255.255.255.255         On-link     192.168.1.103   4511
       195.my.real.ip  255.255.255.255      192.168.1.1    192.168.1.103   4256
            224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
            224.0.0.0        240.0.0.0         On-link     192.168.1.103   4513
            224.0.0.0        240.0.0.0         On-link      172.16.254.2     26
      255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
      255.255.255.255  255.255.255.255         On-link     192.168.1.103   4511
      255.255.255.255  255.255.255.255         On-link      172.16.254.2    281[/FONT]

    I want to ping 10.0.0.99 on internal network - i get no response

    tracert gets as far as the server end of the tunnel: 172.16.254.1 then stops
  • 0 in reply to h3mp
    Make sure you've turned on the Ping and Traceroute options in the ICMP settings on the firewall.

    Make sure the wireless router is set to allow VPN tunneling or whatever the option is.
    Try it without the router.

    Also,
    "filtering set currently for any/any/any"

    isn't very safe. Since you're doing Masquerading, you can probably get away with it for now while you're setting up, but you should change it to 
    Source: Internal Network(s), Any, Any

    Then, you'd also need a rule for
    Source: VPN Pool, any, any

    Barry
  • 0 in reply to BarryG
    > Make sure you've turned on the Ping and Traceroute options in the ICMP settings on the firewall.

    They are on.

    > Make sure the wireless router is set to allow VPN tunneling or whatever the option is. Try it without the router.

    VPN tunneling is fine, tried more than one router, and it works with my extra odd NAT rules on..

    > Also, "filtering set currently for any/any/any" isn't very safe. change it to
    Source: Internal Network(s), Any, Any

    have done so

    > Then, you'd also need a rule for Source: VPN Pool, any, any

    done already..


    doesn't help [:(]

    when i connect using the default L2TP pool (10.242.3.0/24) - i can ping the "internal" ethernet socket (10.0.0.199) - but can't ping anything beyond that on my network.. 
    (my only option that works is to add NAT rule "L2TP pool" -> "internal network")

    when i connect using my alternate pool (172.16.254.0/24) - you can't even ping the "internal" (10.0.0.199) socket..
    -so it seems that if the vpn pool is on a subnet different to the internal socket, there is no built in routing between subnets to allow vpn traffic on to the internal network....
Reply
  • 0 in reply to BarryG
    > Make sure you've turned on the Ping and Traceroute options in the ICMP settings on the firewall.

    They are on.

    > Make sure the wireless router is set to allow VPN tunneling or whatever the option is. Try it without the router.

    VPN tunneling is fine, tried more than one router, and it works with my extra odd NAT rules on..

    > Also, "filtering set currently for any/any/any" isn't very safe. change it to
    Source: Internal Network(s), Any, Any

    have done so

    > Then, you'd also need a rule for Source: VPN Pool, any, any

    done already..


    doesn't help [:(]

    when i connect using the default L2TP pool (10.242.3.0/24) - i can ping the "internal" ethernet socket (10.0.0.199) - but can't ping anything beyond that on my network.. 
    (my only option that works is to add NAT rule "L2TP pool" -> "internal network")

    when i connect using my alternate pool (172.16.254.0/24) - you can't even ping the "internal" (10.0.0.199) socket..
    -so it seems that if the vpn pool is on a subnet different to the internal socket, there is no built in routing between subnets to allow vpn traffic on to the internal network....
Children
  • 0 in reply to h3mp
    Check the routes on the VPN clients, after they've connected.

    Barry
  • 0 in reply to BarryG
    routes:
    Network Destination Netmask Gateway Interface Metric
    0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.103 4255
    0.0.0.0 0.0.0.0 On-link 172.16.254.2 26
    127.0.0.0 255.0.0.0 On-link 127.0.0.1 4531
    127.0.0.1 255.255.255.255 On-link 127.0.0.1 4531
    127.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
    172.16.254.2 255.255.255.255 On-link 172.16.254.2 281
    192.168.1.0 255.255.255.0 On-link 192.168.1.103 4511
    192.168.1.103 255.255.255.255 On-link 192.168.1.103 4511
    192.168.1.255 255.255.255.255 On-link 192.168.1.103 4511
    195.my.external.ip 255.255.255.255 192.168.1.1 192.168.1.103 4256
    224.0.0.0 240.0.0.0 On-link 127.0.0.1 4531
    224.0.0.0 240.0.0.0 On-link 192.168.1.103 4513
    224.0.0.0 240.0.0.0 On-link 172.16.254.2 26
    255.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
    255.255.255.255 255.255.255.255 On-link 192.168.1.103 4511
    255.255.255.255 255.255.255.255 On-link 172.16.254.2 281

    [:S]
  • 0 in reply to h3mp
    From my experience when a remote vpn connection is not able to access the internal network unless a nat rule is created, is usually the result that the machines on the internal network do not have a route back to the vpn pool. Usually this is because the machines on the local network have their default gateway set to another device on the network. In order to troubleshoot this I would recommend logging into the astaro via ssh and do a tcpdump on the interfaces to see the traffic while you try to ping. My guess is you will see the traffic leave the internal interface, but will not see any reply traffic coming back.

    Also, if you have Intrusion protection enabled I would suggest checking the logs to see if it is blocking the traffic.
  • 0 in reply to dilandau
    my sorry for all the other guys then h3mp - but i have to agree him!
    i experienced the same problem and spent hours to do all the different troubleshooting options and config's recommended here - only solution was the nat...
    pfr in place, routes in both directions, nothin' helps! 
    in theory, i agree with all the "..have to run.." comments - received the same in an astaro training - but the reality is different! but, btw: this started sometimes in the middle of V6...
    rgds, andre
  • 0 in reply to AMros
    hmm, since the last update to 7.305 i thought i'd try turning off my masquerading rules..

    ...and now the vpn just works by itsef without needing any additional settings - i guess some bug got fixed at some point... :-)
Cookie Information Banner