Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 1 subscriber
  • Views 8878 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

should i have to add NAT rules for vpn clients??

h3mp
I dont understand why I had to do this to get it to work..

my internal network is on 10.0.0.0/8
externally i'm using 1 real IP address,

under NAT, i have one rule: Internal -> external

after enabling both SSL and L2TP VPNs i found clients could only access the gateway itself and nothing internal to the network, so i added 2 rules in the NAT config:
VPN pool (ssl) -> Internal
VPN pool (L2TP) -> Internal

This appears to fix it and everything works fine... - but this seems wrong to me, i dont need any translation between this end of the VPN tunnel and my network?? - it should just be direct...?


This thread was automatically locked due to age.
  • 0 in reply to BarryG
    > Make sure you've turned on the Ping and Traceroute options in the ICMP settings on the firewall.

    They are on.

    > Make sure the wireless router is set to allow VPN tunneling or whatever the option is. Try it without the router.

    VPN tunneling is fine, tried more than one router, and it works with my extra odd NAT rules on..

    > Also, "filtering set currently for any/any/any" isn't very safe. change it to
    Source: Internal Network(s), Any, Any

    have done so

    > Then, you'd also need a rule for Source: VPN Pool, any, any

    done already..


    doesn't help [:(]

    when i connect using the default L2TP pool (10.242.3.0/24) - i can ping the "internal" ethernet socket (10.0.0.199) - but can't ping anything beyond that on my network.. 
    (my only option that works is to add NAT rule "L2TP pool" -> "internal network")

    when i connect using my alternate pool (172.16.254.0/24) - you can't even ping the "internal" (10.0.0.199) socket..
    -so it seems that if the vpn pool is on a subnet different to the internal socket, there is no built in routing between subnets to allow vpn traffic on to the internal network....
  • 0 in reply to h3mp
    Check the routes on the VPN clients, after they've connected.

    Barry
  • 0 in reply to BarryG
    routes:
    Network Destination Netmask Gateway Interface Metric
    0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.103 4255
    0.0.0.0 0.0.0.0 On-link 172.16.254.2 26
    127.0.0.0 255.0.0.0 On-link 127.0.0.1 4531
    127.0.0.1 255.255.255.255 On-link 127.0.0.1 4531
    127.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
    172.16.254.2 255.255.255.255 On-link 172.16.254.2 281
    192.168.1.0 255.255.255.0 On-link 192.168.1.103 4511
    192.168.1.103 255.255.255.255 On-link 192.168.1.103 4511
    192.168.1.255 255.255.255.255 On-link 192.168.1.103 4511
    195.my.external.ip 255.255.255.255 192.168.1.1 192.168.1.103 4256
    224.0.0.0 240.0.0.0 On-link 127.0.0.1 4531
    224.0.0.0 240.0.0.0 On-link 192.168.1.103 4513
    224.0.0.0 240.0.0.0 On-link 172.16.254.2 26
    255.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
    255.255.255.255 255.255.255.255 On-link 192.168.1.103 4511
    255.255.255.255 255.255.255.255 On-link 172.16.254.2 281

    [:S]
  • 0 in reply to h3mp
    From my experience when a remote vpn connection is not able to access the internal network unless a nat rule is created, is usually the result that the machines on the internal network do not have a route back to the vpn pool. Usually this is because the machines on the local network have their default gateway set to another device on the network. In order to troubleshoot this I would recommend logging into the astaro via ssh and do a tcpdump on the interfaces to see the traffic while you try to ping. My guess is you will see the traffic leave the internal interface, but will not see any reply traffic coming back.

    Also, if you have Intrusion protection enabled I would suggest checking the logs to see if it is blocking the traffic.
  • 0 in reply to dilandau
    my sorry for all the other guys then h3mp - but i have to agree him!
    i experienced the same problem and spent hours to do all the different troubleshooting options and config's recommended here - only solution was the nat...
    pfr in place, routes in both directions, nothin' helps! 
    in theory, i agree with all the "..have to run.." comments - received the same in an astaro training - but the reality is different! but, btw: this started sometimes in the middle of V6...
    rgds, andre
  • 0 in reply to AMros
    hmm, since the last update to 7.305 i thought i'd try turning off my masquerading rules..

    ...and now the vpn just works by itsef without needing any additional settings - i guess some bug got fixed at some point... :-)
  • 0 in reply to jamuna
    tried this yesterday: looks really like the NAT is not needed anymore - but now there is a new prob: the route will not set stable so that the host can't find the resources at the other end of the tunnel...

    rgds, andre
Cookie Information Banner