A little VPN help here

Hi, you can create packetfilter rules to allow the VPN traffic to the LAN(s).

Barry

You should also have masquerading rules for your PPTP VPN pool to your internal network

Brad, I don't think a masq rule should be needed.  The Astaro should have the proper routes and packet filters set automatically by the PPTP configuration.

If you have configured a DHCP server in the Astaro, you should be able to use it in the PPTP definition.

But, I don't think that's your problem with the pings.  Check the 'ICMP' tab in 'Packet Filter' - I bet you just need to check some boxes to allow pings to go through.

Cheers - Bob

I tired to put the dhcp server in there and it said that it's not valid so I'm forced to use the vpn pool.

Thanks for the help with this fellas I'm sure we'll get this figured out.

You're right, there's no way to use the Astaro DHCP.  We usually configure DHCP off the domain server, so I hadn't tried the Astaro DHCP for PPTP until now.  With the lease-time set high, you would, in essence, achieve the desired result with DHCP from your Windows server.

Cheers - Bob

My apologies I no longer have a Win2K3 server running in my house so having the Astaro dish out the IP's at the moment is the only real solution I have.  So if the solution is to setup a rule to allow VPN traffic to the LAN is the correct solution could I have a little hint as to how that rule should be defined?  Thank you all soo much for your help here with this.  And my apologies for taking this long to reply to this I've been sleeping for the last 18 hours or so due to the fact that my company has a huge release going on tonight so got as much sleep as I could before coming into work.  Thanks.  BTW not to get confused the Astaro is at my house and not at work [:)]

If your goal is to have the Remote Access Clients and the local clients in the same subnet, that's possible (and normally not necessary as the Astaro takes care of creating routes and packet filter rules).

To get everything inside 'Internal (Network)', restrict DHCP to a subset of your subnet, and the VPN Pool to a different part of the subnet.  For example:

Internal (Network) : 10.10.10.x/24
Reserved for fixed IPs : 10.10.10.10 through 10.10.10.49
DHCP Range : 10.10.10.50 through 10.10.10.99
VPN Pool (L2TP) : 10.10.10.128/27
VPN Pool (PPTP) : 10.10.10.160/27
VPN Pool (SSL) : 10.10.10.192/27
etc.

Cheers - Bob

If your goal is to have the Remote Access Clients and the local clients in the same subnet, that's possible (and normally not necessary as the Astaro takes care of creating routes and packet filter rules).

hm, you recommend to have the same IP network on internal LAN and in the VPN pools? Don´t think this works out of the box. At least, you would have to activate Proxy ARP on the internal interface, otherwise routing of the packets from the LAN to the VPN would be impossible (no arp response)

I wouldn´t recommend using same IPs on VPN and LAN. Why not using the default VPN pools or any other range - this allows proper and clean routing. 

Thefuzz4, is the default gateway of the internal servers that you want to reach through the VPN pointing to the ASG?
If you are connected by VPN, can you ping the INTERNAL IP of the ASG  from your VPN client?

Ah yes, and DID you create the packetfilter rule now, without it, nothing will go through the vpn...
Just make pf rule with src= dest= service=  action=accept log=yes time=always
save the rule and make it green.

DOes it work now?

In my experiments, no Proxy ARP was used, and everything worked normally.  But, I agree, there's no reason not to do it the "standard" way.

Cheers - Bob

I created a packet rule to allow vpn pptp traffic to any network so we'll see if this does the trick.  Thanks for all of your help on this one.