I need a 'How to Remote Access ASG for dummies'

Good question Erik.  First, you should know that it's possible that the network admins at your office have blocked such access, second that you likely need administrative rights on your office PC to be able to install a VPN client.

If you have admin rights and are concerned that the ports needed for L2TP over IPSec might be blocked, try the SSL VPN.  Otherwise, I prefer L2TP.  There are great instructions for SSL in article 228438 on the Astaro KnowledgeBase.  For L2TP, look for 228436.

Cheers - Bob

Hello Bob... Hope your day is going well. We have a couple differnt ways of accessing the internet through my job so I 'may' be OK. I would prefer NOT to install a Cisco client on my work laptop, but I may go that route. thanks for the kb article - I will study this and see what I can accomplish on my own. 

I would assume that if I get this setup within the ASG that I cannot properly test this from within my home network - correct?

- Erik

Simon, if he's using the Windows XP client, I think 'Automatic' will select PPTP first and connect via that if it's configured on the Astaro.

Ed, if you have Windows Firewall turned on, try turning it off.  Check with your corporate security folks to make sure you aren't contravening any policy.  If you must leave it active, you need to open the following UDP ports: 500, 5500, 1701.

Bob,
When I was testing last night, I was using my personal laptop an piggy-backing off a neighbours wi-fi (for testing purposes only) so work shouldn't be a factor in this latest test.

Ok, here is the latest scope… 
If I have the client VPN connection set to = L2TP over IPPec, I will get one of the following error messages:
Error 781: The connection requires a certificate. 
Error 789: the L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer.

If I set it to = automatic type detection – then I get this error message:
Error 800: Unable to establish the VPN connection.

Not sure if this matters or not, but I can access my Windows Home Server via the hostname and or IP address now. I simply enter in the https://%name%.homeserver.com URL and it brings up my Remote Access page*  - I would think that by using the VPN connection, the Astaro would route this request differently.



*Windows Home Server has IIS built in. It has a pre-designed Remote Access portal which users can enter in their credentials and access shared resources on their home network. It uses ports 80, 443 and 4125. Nice feature if you ask me.

From the outside, you are accessing the server via a DNAT rule.  From the inside, you have to access it by the internal IP.  You can add a DNS entry to the Astaro or the homeserver for %name%.comserver.com so that that resolves internally to your internal IP, allowing you to use a common link whether you are home, outside or connected via VPN.

Check your Astaro's L2TP 'Global' tab.  It sounds like you have it set on "X509 CA check" instead of "Preshared key."

Good idea on the DNS entry to allow me internal access. Will set that up.

As far as the L2TP tab, I am 99% sure it is Preshared as I went thru the steps again last night. I will try deleting the entry and setting it up again. This may just be a feature I don't get to work. Not going to loose sleep on this one as the rest works so well.

Bob -
I just checked my L2TP Global Tab and it is set to Preshared key

Not sure what I am doing wrong here???

I enbaled the L2TP/IPSec debug mode tonight. I will try it over the next day or so and post my results. 

As always, thanks for the help!!!

Hello,

Create a host & call it work. Make sure you know your works gateway address & its not your laptops IP.

Once done go into Management-->Webadmin Settings-->Access Control & add the host you created for work to allowed networks

Once you have done this go to Network security-->packet filter & add a rule to your external nic--source will be work host-->service(Astaro Webmin service:4444)-->destination your external interface--> action (allow).


Once all this is done you should be able to either on your works PC browse to https://asg IP address:4444 or subdomain etc.


Hope this gets the job done for you

Cheers


Andrew

UPDATE: 
After reading akennedy's post (THANKS) I thought I would give this a try - https://%servername%:4444 and guess, what - I am able to log in. Now, I have basically made my Astaro web admin accessible via https and port 4444 without using L2TP over IPSec. My question(s) to you is this: is this such a bad thing? Would it be helpful to change it from port 4444 to another port? My reason for asking this is that I love this way of accessing it. It is perfect for what. 
Here is my scenario: 
1)if I want to access my Windows Home Server files, I open up a web browser and enter in https://%servername%.dyndns.org and I am there. It asks me for username and password and I can access my files. 
2) If I want to access my firewall, I open a web browser and enter in https://%servername.dyndns.org:4444 and I can access my Astaro. That is awesome, but I am not sure if that’s too unsecured… 

Your thoughts? BTW, this is a simple home network, not a business network. Just my files – mp3s, applications, etc.


As always – thanks! - Erik

Use a decent password (8+ letters & numbers) and you have nothing to worry about.

Astaro will block password guessing after a few tries, and can send emails to you as well.

Barry

Use a decent password (8+ letters & numbers) and you have nothing to worry about.

Astaro will block password guessing after a few tries, and can send emails to you as well.

Barry

KICK ACE!!! This is awesome! Thanks everyone for all of your help! I love this solution!

Hello Erik,

Good to hear & yes if you dont need actual connectivity to your whole network this is sufficient. 

In reference to your security question theoretically your only problem would be staff coming from behind your works gateway address. So if there are 1000 users on no routable private IP's than your ASG would let any of them connect, that is if they firstly knew about it, they knew the port (4444) & also your password.

Any other connection attempts ASG would simply drop the packets.

I was hoping to hear if there is an actual way to further secure it via, lets say my work laptops mac address but as of yet i have had no answers.

All the best

Andrew

For me and my needs this is just perfect. My home network used to consists of a server running Windows 2003 Server - it was my file/print, DNS, DHCP and AD server (this is a home office). It was fine and honestly, very little problems to speak of. However, my wife has a Gateway laptop and she is running Windows Media Edition so it was a pain for her to access any files. I decided to install a new server running Windows Home Server and it has been a great idea thus far. It backs up all of our computers, we have a central location to access music, pictures, files etc. My biggest concern was security and the ASG is more than perfect for my setup. 
Honestly, I could not be more pleased with my setup now. 

Thanks again everyone for helping me get going on this project. I am sure I will have more questions as time goes on.

- Erik

Great catch, Andrew, you answered the question that Erik didn't know enough to ask.  The exact, correct solution.

Erik, another suggestion if you travel much.  Since it's not secure to leave 'Any' in 'Allow Access', here's a little trick you can do with your dynDNS address.

• Create a host definition of type 'DNS Host' for your DynDNS with %servername%.dyndns.org and add it to the list of 'Allowed Networks'.
  
• When you're on your laptop from a hotel room, bring up a tool like the 'Domain Dossier' at http://centralops.net/co/ that will show the public IP from which you are accessing the Internet.
  
• Log in to your DynDNS account, copy your current home IP into a new browser and add "https://" and ":4444/" but don't try to go there yet.
  
• Now, change the DynDNS entry to the hotel's IP, and, voila!, you're allowed to access Astaro WebAdmin.
  
• When you're finished accessing the Astaro, don't forget to change the DynDNS entry back to your current home IP.

Cheers - Bob