Cisco VPN: unable to browse

I'm not sure what you mean by "DHCP VPN cisco pool" - an accidental inclusion of "DHCP" is what I assume.

In the setup of the Cisco VPN service in the Astaro, be sure to check the box for 'Automatic packet filter rules' and you will be able to add "Internal (Network)" to 'Local Networks'.  That will enable VPN access to local resources.

To browse the internet, you do need to create a masq rule for the 'VPN Pool (Cisco)'.  It sounds like you already have 'VPN Pool (Cisco)' in 'Allowed networks' for the HTTP proxy.

Does it work now?

Cheers - Bob

I've attached the relevant pics. Client connected is 10.242.5.1 (Yes I meant VPN cisco and not DHCP [:)])
I am still unable to browse the net and dont have access to local resources. pf log still has the same blocks (see previous post)

Oops! - I didn't even look at that before.  If you are using the Astaro for DNS, do you have 'VPN Pool (Cisco)' in 'Allowed Networks' for DNS?

yes. I just forgot to include the pic. I've attached it now [:)]

Client has ip :10.242.5.1/24/ Gateway is 10.0.0.1

I am even trying to ping the hosts on the private lan and DMZ and I can't (ping is allowed)

Do you have a definition somewhere that's 10.0.0.0/8?  Or 10.255.255.0/24?  I don't understand why there are NETBIOS packets going to 10.255.255.255.

The only networks I am using are 192.168.2.0/24,172.16.1.0/24 and the cisco vpn 10.242.5.0/24. No matter what I am trying to do I am getting the below (On this instance I've tried to ping a zone 1 host).  

2009:08:02-13:47:16 stuffman ulogd[3335]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" seq="0" initf="eth1" outitf="eth2" dstmac="00:b0:c2:02:e4:4f" srcmac="00:b0:c2:02:e3:c7" srcip="10.242.5.1" dstip="10.255.255.255" proto="17" length="207" tos="0x00" prec="0x00" ttl="127" srcport="138" dstport="138" 
2009:08:02-13:47:16 stuffman ulogd[3335]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" seq="0" initf="eth1" outitf="eth2" dstmac="00:b0:c2:02:e4:4f" srcmac="00:b0:c2:02:e3:c7" srcip="10.242.5.1" dstip="10.255.255.255" proto="17" length="237" tos="0x00" prec="0x00" ttl="127" srcport="138" dstport="138" 
2009:08:02-13:47:17 stuffman ulogd[3335]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" seq="0" initf="eth1" outitf="eth2" dstmac="00:b0:c2:02:e4:4f" srcmac="00:b0:c2:02:e3:c7" srcip="10.242.5.1" dstip="10.255.255.255" proto="17" length="211" tos="0x00" prec="0x00" ttl="127" srcport="138" dstport="138" 
2009:08:02-13:47:18 stuffman ulogd[3335]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" seq="0" initf="eth1" outitf="eth2" dstmac="00:b0:c2:02:e4:4f" srcmac="00:b0:c2:02:e3:c7" srcip="10.242.5.1" dstip="10.255.255.255" proto="17" length="78" tos="0x00" prec="0x00" ttl="127" srcport="137" dstport="137" 
2009:08:02-13:47:18 stuffman ulogd[3335]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" seq="0" initf="eth1" outitf="eth2" dstmac="00:b0:c2:02:e4:4f" srcmac="00:b0:c2:02:e3:c7" srcip="10.242.5.1" dstip="10.255.255.255" proto="17" length="78" tos="0x00" prec="0x00" ttl="127" srcport="137" dstport="137" 
2009:08:02-13:47:18 stuffman ulogd[3335]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" seq="0" initf="eth1" outitf="eth2" dstmac="00:b0:c2:02:e4:4f" srcmac="00:b0:c2:02:e3:c7" srcip="10.242.5.1" dstip="10.255.255.255" proto="17" length="96" tos="0x00" prec="0x00" ttl="127" srcport="137" dstport="137"

I've also created an any any allow rule just to confirm that it's the pf that is blocking the vpn client to browse but it's not. Even with having the allow any any rule, I am unable to ping devices/ connect to the internet

Question: Should I create an IPsec connection?

You might try backing up, then experimenting with an old backup to see if the same Cisco configuration works with it.  I just can't help but think you have some very creative misconfiguration in there somewhere - but I sure can't guess it.

Cheers - Bob

Further testing

A friend from Greece connected using the cisco vpn client to my box. I have attached the print route and tracert. It seems that the ip the client gets (10.242.5.1) is the default gateway (according to the routes.).He was able to tracert to google.gr  but not able to browse. (he had default gateway 10.242.5.1).He also had 10.x.x.x on his network so I am assuming it might be a missconfiguration

86.164.253.43 which is the first hop is my wan address


When I 've tried to vpn from one of my pc in zone 1 (not sure if that would work), I was unable to tracert (timeout). My default gateway was 10.0.0.1

I think the default gateway is wrong!

Several posts have been made by users who are having issues regarding the Cisco VPN client. I tried to read all posts and followed them as good as possible as i am not an expert on this great system (ASG 7.405 Home) but until now i haven't found a working solution. So my appologies if this post is 'again' posted and solution already given...

The situation i want to explain is the following.

Currently behind  my ISP dsl modem/router and the astaro box(pc) i installed a switch so i could make all test(s) and adjustments inside and don't have to access the internet insecurly via a G3 wireless connections or via a neighbour with open Wifi-router.

The pc i connected (running windows 7 RC) to the switch for the test gets it's IP information from the build-in DHCP server of my provider so it get(s) 192.168.1.10/24 gw 192.168.1.1 and dns 192.168.1.1

The 'WAN' interface of my asatro has 192.168.1.254 and the LAN interface 192.168.10.254 (as an example).

I configured the Astaro box to accept Cisco VPN Clients  , configured on my test pc the  Cisco VPN Client imported the certificate which belongs to the user-account who wants to use the vpn possibility.

Connecting from the pc to the astaro with the vpn client is no issue. The VPN Interface on that pc get a nice ip address in the 10.252.5.0 network.
The only strange thing is that the subnet is /8 instead of the configured /24 at the Cisco VPN Pool. No dns SERVER.

The only thing i don't know if this is setup correctly is the interface config inside the vpn pool config. Currently it is configures as ANY network.

When i perform a NSLOOKUP for Microsoft Corporation it still tries access the IP address of my provider (192.168.1.1). and ofcourse DNS request timeout

When i perform NSLOOKUP Microsoft Corporation 192.168.1.254 (WAN int. Astaro) , result 4 times DNs request timeout.

When i perform "NSlookup Microsoft Corporation 192.168.10.254(LAN IP astaro)
The astaro box returns 2 IP addresses and some aliases. so then it works.

I still can't believe it is a Cisco vpn client issue, i still look at it as that the vpn-server buildin the astaro doesn't return the correct information to the vpn client connecting to it.

I am still unable to browse the net using vpn via my iphone. I can connect using L2TP VPN and the client has a proper ip. I've included the VPN Pool (L2TP) under the DNS,HTTP,IPS,user portal,web admin
I have a pf in place to allow http access and there is a Masquerading rule in place as well (l2tp-->wan)

I can see no traffic on the packet filter log/http/DNS  proxy :S (I am using 3G and the vpn is connected on my iphone)
it can't even connect to astaro webadmin :S

Iphone configuration
-------------------
Ip:10.242.3.2
connected to 10.242.3.1

It seems like a routing issue.


I know that using Cisco™ VPN Client you can specify Any under the local network and that will do the trick. How about L2TP though?
Any ideas?