Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 5600 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cisco VPN struggle (still ongoing).

madifor
I downloaded the latest available Cisco VPN Client V5.0.06.0160 and i still have issues connecting to my Astaro Gateway.
It seems to be an ongoing struggle for me to get it working.

I am able to connect to the Astaro gateway, i can ping the astaro box. I can ping the Ip address of my dsl router but can't ping my internal network. I can ping ip addresses on the internet but name resolving doesn't work as dns is my internal dns server which i can't ping.


I know i have posted several messages about this subject but i can't see what i am doing wrong.I appreciate any suggestions about this.

The issue i have isn't cisco vpn client related as i have dns issues from the beginning i started using it.The only way of browsing the internet is configuring the proxy settings in the browser.

But name resolving for other applications like outlook doesn't work, or from the command prompt

Astaro information:

Firmware version:  7.502 
Pattern version:  11654 
Last check:  27 minutes ago 
 

Any ideas what i need to change to get it working

regards

eddy


This thread was automatically locked due to age.
  • 0
    I haven't had a look to check all other messages but if the issue is only internal network,have you tried ticking the relevant box on the cisco vpn client? (under transport>>Allow Local LAN Access)
  • 0 in reply to wingman
    to be honest i have posted under several astaro versions, almost the same like issues.
    Perhaps i have not searched good enough, but perhaps you know a step by step guide how to configure the astaro gateway.
    As i have read more that the vpn adapter doesn't get a dns server assigned
    17     16:41:01.953  02/05/10  Sev=Info/4 CM/0x6310000E
    Established Phase 1 SA.  1 Crypto Active IKE SA, 0 User Authenticated IKE SA in the system

    18     16:41:01.968  02/05/10  Sev=Info/4 CM/0x63100015
    Launch xAuth application

    19     16:41:06.421  02/05/10  Sev=Info/4 CM/0x63100017
    xAuth application returned

    20     16:41:06.859  02/05/10  Sev=Info/4 CM/0x6310000E
    Established Phase 1 SA.  1 Crypto Active IKE SA, 1 User Authenticated IKE SA in the system

    21     16:41:06.937  02/05/10  Sev=Info/4 CM/0x63100019
    Mode Config data received

    22     16:41:08.234  02/05/10  Sev=Info/4 CM/0x63100034
    The Virtual Adapter was enabled: 
    IP=10.242.5.2/255.0.0.0
    DNS=0.0.0.0,0.0.0.0
    WINS=0.0.0.0,0.0.0.0
    Domain=
    Split DNS Names=

    23     16:41:08.250  02/05/10  Sev=Info/4 CM/0x63100038
    Successfully saved route changes to file.

    24     16:41:08.296  02/05/10  Sev=Info/4 CM/0x6310001A
    One secure connection established

    25     16:41:08.421  02/05/10  Sev=Info/4 CM/0x6310003B
    Address watch added for 192.168.0.201.  Current hostname: EQ-W00300520015, Current address(es): 10.242.5.2, 192.168.0.201.

    26     16:41:08.421  02/05/10  Sev=Info/4 CM/0x6310003B
    Address watch added for 10.242.5.2.  Current hostname: EQ-W00300520015, Current address(es): 10.242.5.2, 192.168.0.201.

    27     16:41:08.421  02/05/10  Sev=Info/4 IPSEC/0x63700014
    Deleted all keys

    28     16:41:08.421  02/05/10  Sev=Info/4 IPSEC/0x63700010
    Created a new key structure

    29     16:41:08.421  02/05/10  Sev=Info/4 IPSEC/0x6370000F
    Added key with SPI=0x3efa23ae into key list

    30     16:41:08.421  02/05/10  Sev=Info/4 IPSEC/0x63700010
    Created a new key structure

    31     16:41:08.421  02/05/10  Sev=Info/4 IPSEC/0x6370000F
    Added key with SPI=0xd964abde into key list

    32     16:41:08.421  02/05/10  Sev=Info/4 IPSEC/0x6370002F
    Assigned VA private interface addr 10.242.5.2

    33     16:41:08.421  02/05/10  Sev=Info/4 IPSEC/0x63700037
    Configure public interface: 192.168.0.201. SG: 85.145.253.212

    As an example my astaro lan ip is 192.168.2.248 and my internal dns is 192.168.2.2. I can ping 192.168.2.48 but i am not able to ping 192.168.2.2.

    i don't get an ip address when i perform an nslookup Sign In 192.168.2.48 no name is resolved

    under dns allowed networks i have the vpn pool selected.
    As forwarder i have entered my local dns server.
    no 'request routing' under dns
    no static entries

    No entries in the packet filter log with blocked entries.
    NAT defined from VPN pool -> WAN
     
    regards
  • 0
    I think what you need to change is the following:

    On the Astaro Side 

    Under DNS you have to have
    1)Allowed networks: VPN , local network or internal DNS server (depends on the configuration)
    2)Forwarders: Either your ISP ticked or any other open dns
    3)Request routing should have 2.168.192.in-addr.arpa →  (if network is 192.168.2.x for reporting purposes [;)]

    let's start by that and we can continue troubleshooting

    verify that after doing all changes you do have internet and resolve DNS 

    I am assuming that internal DNS is forwarding all traffic to the ASG box
  • 0 in reply to wingman
    DNS name resolving is for some reason still not working.
    An problem i had was solved 'easy' 

    I am not using the astaro gateway as default gateway for my general network devices.When i added nat rule -> Internal-network
    After this nat rule i am able to ping my internal network devices on the 192.168.2 network.

    When i perform a nslookup   i get the correct ip address
    When i perform the same but the asg instead of the internal dns server i am not getting correct response back.
    Under dns forwarders i also tried to set the internal dns server but that didn't solve the issue.I had my internal dns and the external dns configured but dns name resolving didn't work for me.

    regards

    eddy
  • 0 in reply to madifor
    Last update is that the only problem that is left unresolved is dns name resolving.

    when i do nslookup Sign In , it only tries to access the dns server configured on the physical interface, this is also related to the fact that the dns server doesn't provide dns server information.

    When i do nslookup Sign In  i get a correct ip address back.
  • 0
    Is this the issue that was resolved by creating a DNAT?

    VPN Pool (Cisco) -> DNS -> Any : DNAT to Internal (Address)


    Cheers - Bob
  • 0 in reply to BAlfson
    For me it is not solved.
    I didn't configure and i made the dnat rule as attached.

    The only way to browse is a[[:)]] configure the proxy in your browser or b[[:)]], After cisco vpn connection is connected, manualy adjust the dns server settings for the virtual adapter.

    When i use wireshark on the cisco adapter (without adding the dns server settings) i don't see the dns requests beeing send out to the asg box.
    As you can imagine when i do nslookup   i see the dns request in my capture.


    regards
  • 0
    I think you may add a DNS server in the Remote access>Avanced..I think this will allow VPN clients to have a proper DNS service...also try to add the Cisco VPN pool to allowed networks in the Network services>DNS
  • 0 in reply to manvip147
    I have set the options you mentioned but the dns / wins settings doesn't apply to the Cisco VPN client.
    i know this is strange to believe but until the current release it is the situation.

    Hopefully this will be fixed soon

    regards

    eddy
  • 0
    Eddy, you are correct, the DNS settings in Remote Access presently apply only to L2TP and PPTP.  It's hard to tell if this is a routing issue or something else - is there a hint in the Packet Filter log?

    Cheers - Bob