Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1483 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

L2TP with Microsoft Client - No Access to Remote Network

MS Master
Hi all,

i try to use "L2TP over IPSec" with the "MS Windows L2TP over IPSec" Function in ASL 6.314.

I can established a connection, but i can´t connect to any host or service.

When i use "PPTP" it works fine.

I wondering, that i can´t ping any Host but when i ping a Switch then this will work without problems.

Any Example:

ICMP - PPTP Connection
PC -> DSL -> PPTP -> ASL -> Host1 - answer
PC -> DSL -> PPTP -> ASL -> Host2 - answer
PC -> DSL -> PPTP -> ASL -> Switch1 - answer
PC -> DSL -> PPTP -> ASL -> Switch2 - answer

ICMP - L2TP Connection
PC -> DSL -> L2TP -> ASL -> Host1 - NO answer
PC -> DSL -> L2TP -> ASL -> Host2 - NO answer
PC -> DSL -> L2TP -> ASL -> Switch1 - answer
PC -> DSL -> L2TP -> ASL -> Switch2 - answer


Why the Switches can answer the ICMP Request, and the Host don´t answer.

Allways the Systems behind the ASL, so i think that the Packet Filter is configure right.

I have a rule "PPTP-Pool -> Any -> Any -> allow" and "IPSec-Pool -> Any -> Any -> allow".

Anyone has a idea to solve the problem.


This thread was automatically locked due to age.
Parents
  • 0
    What are the subnet definitions for (1) PPTP-Pool, (2) IPSec Pool and (3) the network containing your hosts and swittches?

    If you can't put them into the same subnet, then you can create a SNAT rule replacing the IPSec Pool source with the IP of the internal interface of the Astaro.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I think the IP Adresses are the Problem

    I have an PPTP Pool from "***.***.***.200" with 5 Adresses and the L2TP pool from ***.***.***.210 with 5 Adresses.

    The Hosts have all Adresses from .1 to .50, the Switches from .241 to .247

    Paket Filter rules are set.

    When i connect per PPTP, the Server will have .201, the Client .202 as IP.

    When i connect per L2TP, the Server will have .211, the Client .212 as IP.

    I try to change the Ip Adresses from the IPSec Pool to new Random generatet 10.x.x.x, and now it works.

    I think on an L2TP Connection die Clients IP Adress must be different from the Network behind the ASL Server.
  • 0 in reply to MS Master
    You were doing it correctly, and that would work just fine under V7.3.  Under V6 and V5, I used the SNAT trick in several places, but they all have V7.302 now.

    Try Source 'IPSec Pool' -> Service 'Any' -> 'Internal (Network)' with 'Source Translation' set to 'Internal (Address)' as a band-aid.

    When you upgrade to V7, just get rid of that SNAT rule (Service 'Any' doesn't work in a SNAT rule under V7 anyway), and set the 'IPSec Pool' to be in the 'Internal (Network)' subnet.

    Cheers - Bob
    PS I just checked and I do have a client still on V6.3 with a VPN.  I don't have the SNAT trick in place there, just the IPSec Pool definition like yours in the same subnet.  I just VPN'd into their network and Remote Desktop'd to their server with no problem.  I wonder if you might not have another problem
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    When i change back the IP Pools to a range that is inside the Internal Network, only PPTP will works.

    I will try out the SNAT Rule later, but i think the better way ist to upgrade to ASL7.x as soon as possible.
Reply
  • 0 in reply to BAlfson
    When i change back the IP Pools to a range that is inside the Internal Network, only PPTP will works.

    I will try out the SNAT Rule later, but i think the better way ist to upgrade to ASL7.x as soon as possible.
Children
No Data
Cookie Information Banner