Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 5856 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Win 2k3 VPN (PPTP) ASG 220 help needed

Benderle
Hi all,

I have a ASG 220 [7.500] setup with a win 2k3 RRAS server  behind it on my LAN, and I am having trouble getting the VPN Traffic to pass through.  I've tried both Packet filter rules and DNAT's to no avail.

The closest I get is now.. I have a DNAT as follows:

Traffic Source: ANY
Traffic Service: PPTP
Traffic Destination: (My WAN Port address)
NAT Mode: Destination
Destination: (My RRAS Server)
Destination Service[:P]PTP
Log initial: checked
Auto Packet filter rule: checked

Using this, my XP SP3  VPN Client machine connects and gets the the "Verifying Username & Password" and hangs.

On the Packet filter log, I can see the port 1723 Traffic get allowed, each time the client dials in, but nothing goes outbound,  even when I allow GRE, all the IPSec ports and PPTP ports outbound via Packet filter rule.

do I have my ASG 220 set properly? in which case it's a RRAS problem? or am I configured wrong?


This thread was automatically locked due to age.
Parents
  • 0
    at first, I am wondering why you install an ASG to protect your network against threats, but in parallal you are using the most insecure and-easy-to-crack PPTP protocol to connect to you Windows Server, which is perhaps the heart of your network.
    it sounds al little bit like placing the server in front of the astaro instead of behind it...
    I recommend to terminete the VPN on the ASG and use a modern protocol like IPsec or SSL.
    If you believe you HAVE TO connect directly to the Windows Server (why should you?), I´d strongly recommend to use L2TP over Ipsec instead of PPTP then (L2TP is also build natively into Windows )

    just my two bits.

    Now to your question:
    under Network Security -> Packetfilter -> Advanced, did you check to "PPTP" helper option box?
Reply
  • 0
    at first, I am wondering why you install an ASG to protect your network against threats, but in parallal you are using the most insecure and-easy-to-crack PPTP protocol to connect to you Windows Server, which is perhaps the heart of your network.
    it sounds al little bit like placing the server in front of the astaro instead of behind it...
    I recommend to terminete the VPN on the ASG and use a modern protocol like IPsec or SSL.
    If you believe you HAVE TO connect directly to the Windows Server (why should you?), I´d strongly recommend to use L2TP over Ipsec instead of PPTP then (L2TP is also build natively into Windows )

    just my two bits.

    Now to your question:
    under Network Security -> Packetfilter -> Advanced, did you check to "PPTP" helper option box?
Children
  • 0 in reply to Ölm
    I'm new to most of this,  as I am new to Astaro Products,  I used PPTP (my apologies for professionally offending you...) because it was the defautl for the Win2k3 VPN,  I can change it, but the problem still remains, and as far as terminating it on the astaro,  my Astaro is not visible on the public internet because of our ISP setup here.  

    any CONSTRUCTIVE help would be appreciated
  • 0 in reply to Benderle
    I'm new to most of this,  as I am new to Astaro Products,  I used PPTP (my apologies for professionally offending you...) because it was the defautl for the Win2k3 VPN,  I can change it, but the problem still remains, and as far as terminating it on the astaro,  my Astaro is not visible on the public internet because of our ISP setup here.  

    any CONSTRUCTIVE help would be appreciated


    my post wasn´t meant offending or so. sorry if you think this was my intention. You can use whatever protocol you want,  I have just given my recommendation to you to also have a SECURE setup.

    By the way, this WAS my CONSTRUCTIVE help:
    >>Now to your question:
    >>under Network Security -> Packetfilter -> Advanced, did you check to "PPTP" helper option box?
  • 0 in reply to Ölm
    under Network Security -> Packetfilter -> Advanced, did you check to "PPTP" helper option box

     yes, I have those options checked...



    My astaro sits behind a Residential Class DSL modem, (Not my doing...but it's what I have to deal with) that packet forwards appropriate inbound traffic to the WAN port of my astaro to then come into my network.. the only thing I allow inbownd thus far is appropriate web traffic to our Web-server, and email (SMTP), and I have been attempting to allow VPN protocols inbound, but have had zero sucess connecting.

    However it's not my preferred solution, but I was able to forward via DNAT  an RDP connection to my terminal server for remote access temporarily untill i get the VPN issue working
  • 0 in reply to Benderle
    My astaro sits behind a Residential Class DSL modem, (Not my doing...but it's what I have to deal with) that packet forwards appropriate inbound traffic to the WAN port of my astaro to then come into my network..


    hm, this doesn´t make it much clearer for me. Sounds like a normal DSL setup with a modem in front of the ASG, so why shouldn´t the ASG be reachable from outside? DO you have a private IP on the WAN port or ... ?!

    I just read your very first posting agin and something attracated me:


    On the Packet filter log, I can see the port 1723 Traffic get allowed, each time the client dials in, but nothing goes outbound,  even when I allow GRE, all the IPSec ports and PPTP ports outbound via Packet filter rule.


    Why do you expect something to be in the logs which goes outbound?
    The log will only log the initial packet flow (from outside to your server). I am not an expert in PPTP but I am pretty sure it is a normal tcp service, so there should nothing be in the log to go outbound.


    I used PPTP [...] I can change it, but the problem still remains


    What means "I can change it but the problem still remains". DID you change it (to what? L2TP?) and then you still have the exactly same problem?

    You probably checked your logs on the windows server already?
  • 0 in reply to Ölm
    it's not reachable to the outside because both interfaces have Private IP addresses, the only public IP is the DSL modem itself,  anything that is requested on the public, (HTTP, HTTPS, SMTP..etc)  get's forwarded through the modem,  to the Astaro, then to my server(s)

    I have a private IP on the WAN port because that's the only configuration my DSL setup will allow.
  • 0 in reply to Benderle
     anything that is requested on the public, (HTTP, HTTPS, SMTP..etc)  get's forwarded through the modem,  to the Astaro


    So, then I would say, the Astaro IS reachable from outside, isn´t it? Of course you are contacting the modem with the official IP bound to it, but if this modem forwards anything to the ASG, it´s the same like you would have contacted the ASG directly.
  • 0 in reply to Benderle
    Hi, 
    If the modem is doing NAT, you should try to bridge it.

    Barry