iPHONE VPN from DMZ to INT Network

I guess that the iPhone is set up with the FQDN of your Astaro, not its actual Public IP, and that your iPhone isn't getting DNS resolution of the FQDN to the Public IP.  Is the DMZ in 'Allowed networks' for the DNS Proxy?  Are you resolving the FQDN internally to the Internal (Address) of the Astaro?

Cheers - Bob

Hi,

DNS resolution in DMZ points to external IP of astaro. Same IP, if I connect from Outside.
DMZ is in allowed networks.

at 1 trial connection log says: IPsec SA established {ESP=>0x0034e20d 

Do you see any related traffic blocked in the packet filter?

To tell you the truth, I've never tried to connect to an L2TP VPN on the External interface from a device on a DMZ interface - it's not clear to me that that's possible, but it may be.  Check if you can access the DMZ when you connect from the outside.  If so, then that would imply you would have a routing conflict if you establish a VPN from inside the DMZ.

Cheers - Bob

Alle IPSec-related services on the ASG (Ipsec site2site, IPsec remote access, and L2TP over IPsec) are bound to a specific interface. The IPSec packets must reach the ASG on this interface.

For L2TP over IPsec, this interface is configured in the Remote Access->L2TP over IPsec -> Global -> Intereface setting.

I suppose, you have defined the "external" (Internet) Interface there. So it works if you conenct via the Internet (and the packets are coming in via the "correct" interface). But if you connect via the DMZ, the packets come in from the "wrong" direction, thus the IPsec daemon won´t accept the packets.
This is just an suggestion, but I am pretty sure this is the cause of your problem. If I am right, you should be able to see it in the ipsec.log logfile.

Hi,

it's exactly the case. L2TP over IPSec Interface is uplink interfaces.

How can I set it up, that the vpn tunnel also works from DMZ?

The implication of my last post was that Astaro specifically would try to make it impossible to use L2TP from the DMZ.  I'm not sure why you want to use a VPN from the DMZ, but you could use PPTP without much exposure from its lesser security.

Cheers - Bob

I don´t have a better solution for you, sfischer, than Bob already supplied. AFAIK there is no way to have more than one interface for L2TP over IPsec listening on. So I think the only option you have is using a second connection method for your DMZ-access, either PPTP or "real" IPsec (you can configure the latter one under Remote Accesss - Cisco VPN Client - iPhone")

Thanks for your replies,

I think this function should be implemented by Astaro.

If I'm using my Iphone from Outside via GSM/UMTS or from a foreign WLAN. Therfore
access to external NIC will happen.

If I'm in the office, we have placed our WLAN in DMZ (for security reasons). 
To access to internal contents, I want to establish a VPN. But Astaro NIC is the DMZ.

I think this config is not unusual.
To work with differnt profiles is possible, but not really conveniant.
If Astaro is targetting to enterprise environments, they should think about it.

Why not put the WLAN outside the Astaro?  In that way, you have the same wireless access you would have at home.

If I whould connect the WLAN Router on external inteface, I whould need a second
public IP Address in same Subnet. This is not possible for my DSL Line