Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 1275 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSecVPN with ASC doesn't work in the office

wk_03
Hi,

I have a costumer who's roadwarriors use ASC since long time to access their mails and the servers in DMZ and internal LAN.

When they were in the office, they connected via cable.

Now they established a seperate WLAN-subnet, which is for guests, that are allowed to connect to the outside but has no routes to internal nets.

When a roadwarrior is connected to this WLAN, he can establish an ASC IPSecVPN. This means the light gets green and all looks like a connection from outside. They receive their fixed IP and the routing looks similar. But they cannot connect the servers.

Where is the little bug in thinking, that I can't find the switch or the rule to make this working?
I think the setup is very common and many of you guys got it working.


This thread was automatically locked due to age.
Parents
  • 0
    Walter, I'm confused.  If the WLAN is established to NOT allow access to internal resources, why would a roadwarrior connect to the WLAN?

    I bet if you draw a diagram, you will see the answer to your question.

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob,

    I still cannot see the problem.

    Let's say: 
    Internal net: 192.168.0.0
                  DMZ net:      192.168.1.0
                  WLAN net:    192.168.25.0
                  VPN-Pool:     10.10.10.0

    Rules for VPN-Pool to Internal and DMZ exist and work from outside.

    If I establish a VPN-tunnel and receive my static IP 10.10.10.1 from the ASG, I should be able to do all things that are allowed for 10.10.10.1. Wrong?
  • 0 in reply to wk_03
    In the definition of the IPsec Remote Access, if 'Internal net' and 'DMZ net' are in 'Local networks', and you have selected 'Automatic packet filter rules', the Astaro will allow access automatically - no additional rules are needed.

    I don't understand why the WLAN even comes into consideration.

    Cheers - Bob
Reply
  • 0 in reply to wk_03
    In the definition of the IPsec Remote Access, if 'Internal net' and 'DMZ net' are in 'Local networks', and you have selected 'Automatic packet filter rules', the Astaro will allow access automatically - no additional rules are needed.

    I don't understand why the WLAN even comes into consideration.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    The customer only wants the access for specific servers and specific protocols. That's why there are rules and not 'Automatic packet filter rules'

    Also the customer does not want wireless stations in the main nets. But to satisfy guests and visitors for checking their mails etc. he allowed a seperate net.

    That is for me a clear and understandable policy.

    Now when the WLAN exists, the roadwarriors also want to use it. And they can connect to the ASG-firewall. The tunnel is established. They see the thick green line with firewall symbols at the HQ and now they do not understand (nor do I) why they cannot connect to the servers.
  • 0 in reply to wk_03
    Do you have a packet filter rule like: 'WLAN (Network) -> IPsec (Group) -> Any : Allow'?

    Cheers - Bob
  • 0 in reply to BAlfson
    I found the solution.

    I didn't need a new packet filter rule, I needed a new IPSec remote access rule with the same parameters than the working one, except the change of the interface to which the rule is bound. It has to be bound to the WLAN-interface.
    And then I also had to change the gateway in the ASC configuration to the ip-address of the WLAN-interface.
    So the roadwarriors have to use a different profile when they are inhouse.

    Can someone shed some light on the effect, that I can establish a real 'green light' connection over the external interface, but am not able to work with this connection?
  • 0 in reply to wk_03
    What was happening in the packet filter log when someone was connected to the VPN from the WLAN?  Same question for the IPsec log.

    Cheers - Bob