Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 2099 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Need to specify remote's public IP or VPN Phase 2 fails

jlbrown
I am trying to connect to our work network from home. At work we have Astaro 7.404 and at home I'm using VPN Tracker 5 from Equinux on a Mac.

I can successfully create the IPSec tunnel and see hosts on my work network. But this only works if I enter my home's public IP into VPN's 'Local IP' field.

I should put my home machine's local IP in this field (eg a 192.168.0.x number), but if I do this, then Phase 2 of the connection fails (Astaro rejects it).

The problem with using my home's public IP is that when I try to access hosts on my work network (such as checking for new emails) it fails when the VPN connection is active.

Any idea why Astaro demands that I use my home public IP?

A more detailed explanation of the problem from Equinux support can be found at:

http://internal.bordo.com.au/VPN_Notes.rtf

TIA,

James.


This thread was automatically locked due to age.
  • 0
    Hi, James,

    'Local IP' - Do you mean 'Local Networks' in the Astaro IPsec configuration?

    Yes the Astaro will allow you to configure an interface for "Proxy ARP" - I think BarryG is one local guru who might explain how to use that to solve your problem.

    Yes, I believe you can create a small VPN Pool (IPsec) that is carved out of the address pool in Internal (Network).  I presently am using our internal DHCP server to assign addresses for L2TP over IPsec Remote Access.  That means remote users are assigned an IP within our Internal (Network), and we are not using Proxy ARP.

    You can let the folks at Equinux know that, by their measure, the Astaro is exceedingly clever!

    Cheers - Bob
    PS I'm sure that James hasn't made the mistake of having a conflict between the IP ranges at home and at work, but others finding this thread should be reminded.
  • 0
    Thanks Bob.

    No - when I said "VPN's 'Local IP' field" I should have said "VPN Tracker's 'Local Address' field".

    See http://internal.bordo.com.au/VPN_Basic.png

    I've also included http://internal.bordo.com.au/VPN_Advanced.png if that helps.

    My Astaro settings are:

    http://internal.bordo.com.au/AstaroVPNConnection.png
    http://internal.bordo.com.au/AstaroVPNPolicy.png and
    http://internal.bordo.com.au/AstaroVPNAdvanced.png

    Re the local and remote IP ranges, work is on 192.168.1.x and home is 192.168.0.x

    Thanks,

    James.
  • 0
    I'm not a guru on IPsec, but it seems like the policies don't match - like maybe you have the VPN Tracker Phase 1 matched to Phase 2 of the Astaro Policy and vice versa.  What do you see in the IPsec log?

    Cheers - Bob
  • 0 in reply to BAlfson
    From the pics, the phase 1 dh groups don't match group 2 on the astaro, group 5 on the mac. 

    I'm not familiar with vpn the program you are using, but is that a global tab for all vpn connections, it just seems odd to have multiple encryption algorithms selected?
  • 0 in reply to dilandau
    I found this guide at equinox's website

    http://www.equinux.com/cms_components/media/vpnt/VPNT_Interop_Howtos/82/Astaro-4-EN.pdf

    it's for astaro v6 and I believe vpn tracker 4. It's old but it does explain the local address field. In v6 you would specify the IP address the user would be assigned when making the IPsec config, this changed in v7 where you can now specify in the user's settings the IP address they should be assigned. So for local address I believe you should specify the IP address that is assigned to the user under the "Use Static Remote Access IP", you'll see this option when you edit a user.
  • 0
    From the pics, the phase 1 dh groups don't match group 2 on the astaro, group 5 on the mac.


    Well spotted! I'll change that in VPN Tracker so that only Group 2 DH is ticked.

    I'm not familiar with vpn the program you are using, but is that a global tab for all vpn connections, it just seems odd to have multiple encryption algorithms selected?


    It is just for that connection. It is a list of all the encryption methods that CAN be used. Ie they are available if the other end wants to use them.
  • 0 in reply to dilandau

    It's for astaro v6 and I believe vpn tracker 4. It's old but it does explain the local address field.


    Yes, it looks like a lot has changed in both apps in the 5 years since it was written!


    So for local address I believe you should specify the IP address that is assigned to the user under the "Use Static Remote Access IP", you'll see this option when you edit a user.


    When I go to my user in Users and click on "Use static remote access IP" it automatically has "5.190.75.205" filled in for the 'RAS Address'.

    Should I change this to 10.1.2.3 and enter 10.1.2.3 into the "Local Address" field in VPN Tracker? Or keep it at 5.190.75.205 - which looks like an Hamachi address to me.
  • 0
    Finally got it all working! The secret was setting the "Use static remote access IP" and using 10.1.2.3. I entered this into the "Local Address" field of VPN Tracker and now all works. I can check my email, etc, while the VPN connection is active.

    Thanks so much for your help Bob and dilandau. It's great to finally have this resolved.

    James.
  • 0
    Hey guys!

    Sorry to jump in so late...
    Glad you managed to get everything straightened out! If you have any followup questions, just let us know... either here, via a TSR report (under 'logs') or @equinuxsupport on twitter.

    Thanks!
    equinux Support