Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 2283 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.404] corrupt l2tp configuration

BarryG
Hi,

While trying to create a new remote access l2tp connection, no matter what the parameters, it keeps getting an 'One of the values you entered is syntactically or logically incorrect', and cannot be saved, and also it cannot be turned off.

I need a way to reset it.

Will probably have to try restoring from a backup, but this is frustrating.

screenshot attached 

Thanks,
Barry


This thread was automatically locked due to age.
  • 0
    Barry, someone else reported something similar within the last day or two.  I asked about the IPsec settings, but don't think I got an answer.

    Are you sure you haven't changed anything? Local X509 Cert or other?  How does the 'Advanced' tab of IPsec look?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi, unfortunately, restoring a backup didn't help. Apparently the l2tp VPN has been turned on with a corrupt config all along.

    Will check the IPSec settings.

    Barry
  • 0 in reply to BAlfson
    Remote Access » IPSec - Advanced:
    Local X509 Certificate == Local X509 Certificate
    Use Dead peer detection - Checked
    Use NAT traversal - Checked, 60 second keepalive
    2 CRL options, NOT checked
    Misc:
    Copy TOS - NOT checked
    Allow Path MTU Discovery - CHECKED, 1420 bytes.


    The reason for trying l2tp was for a MAC, but we've gotten OpenVPN running and connecting to Astaro in SSL mode now, so this is no longer critical, although it would be nice to know how to fix it.

    Thanks,
    Barry
  • 0 in reply to BarryG
    Does an IPSec connection have to be setup?

    Barry
  • 0
    No, but the Cisco and L2TP Remote Access VPN Services take some things from the IPsec configuration.  I'm not sure how much, but I'd be paranoid if I'd been fooling with the SIte-to-Site or Remote Access settings for IPsec or the Local X509 Cert.  Does the Local X509 Cert have the same hostname as that defined for your box?

    But, since the only other complaint about this was within the last 48 hours and also was in 7.40?, I'm a little paranoid about the current release.  Can you check your VPN Pool (L2TP) and see if that seems "correct?"

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,
    The "Local X509 Cert" does have the same domain in "VPN [hostname]" as the firewall's domain name.

    The VPN Pool has the default 10.242.3.0/24 network definition.

    OK... I just fixed it.
    The way it was setup was showing "Assign IP addresses by DHCP Server" and I was trying to change it to "IP Address Pool" but it wouldn't let me.
    I fixed it by assigning an internal server as the supposed DHCP server, and then it let me save the config, and also it let me disable the l2tp status.
    Then, I was able to re-enable, and set it to IP Address Pool, and save it.

    ISTM that there is a bug somewhere as it never should have allow that bad state to be saved.

    Thanks,
    Barry
  • 0
    Yes, in the interest of bug-erasing...

    What's the story with the picture in your first post? It shows "VPN Pool" but you said it was originally "by DHCP Server" and wouldn't let you change it.  Are you saying it let you change the DHCP server assignment from one host to another or ???

    Thanks - Bob
  • 0 in reply to BAlfson
    Hey Barry, if this is one of your commercial installs, try starting a case w/ Astaro.  I think they're going to need to dig into the config (backend) on that box to see what's going on.  You may have found a bug.
  • 0 in reply to BrucekConvergent
    Barry, can you reproduce this problem with 7.470?  The other post I was thinking of was one about the iPhone and the L2TP and Cisco clients.  The iPhone profile install was broken by the iPhone upgrade to 3.0, but that was fixed in 7.470.

    Cheers - Bob
  • 0 in reply to BAlfson
    Yes, in the interest of bug-erasing...

    What's the story with the picture in your first post? It shows "VPN Pool" but you said it was originally "by DHCP Server" and wouldn't let you change it.  Are you saying it let you change the DHCP server assignment from one host to another or ???


    Hi Bob,
    The screenshot was of the settings I was trying to change it _to_, when it got the error.
    It wouldn't let me change it, and it wouldn't let me turn it off; as far as I could see, it wouldn't let me save any setting, but I eventually figured out than I needed to change the server assignment. NOT that that is what I wanted; I wanted to use the VPN pool, not dhcp.

    Thanks,
    Barry