Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 5592 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Remote Access IPSec VPN: How to force traffic through tunnel?

Moose
Hello everybody,

I migrated from IPCop which works for me over years now to ASG Ver 7.504 to get some praxis with this system. I'm running it as sw appliance on standard PC hardware.

What I want to do (and get running now) is the following thing:

I have 4 NICs

1 x internet
1 x intranet (LAN)
1 x extranet (WLAN)
1 x dmz

Because default WLAN encryption doesn't fit my needs I implemented a solution on my old IPCop which encpryts all traffic from LAN to WLAN and vice versa by IPSec. As mentioned above it works fine over years - but to establish it costs me a lot of time, sadly.

No I tried to built up the same configuration on my Astaro and got it running basically. This means I'm configured Client-to-Site with PSK on my ASG and made the related entrees in the Shrew Soft VPN client running on a client in WLAN.

I defined the related package filter rules on the ASG and all works fine as long as the tunnel is up. This means a tcpdump on the extranet interface shows EXP and 
ISAKMP packages only.

But, my problem is the following: When the tunnel is down, the packages are transmitted also - only unencrypted!

This is want I want to prevent. How can I change my configuration on the ASG so that the extranet interface accepts IPSec-Traffic (EXP & ISAKMP) only (may be accept DHCP queries to and send DHCP offers from the DHCP-Server too,  but this is no "must have").

This would mean the ASG WLAN inerface should accept the IPSec encrypted traffic only, should unencrypted it and then look if there are package rules which fit.

On the other hand let's say I'd like to do a RDP session from the intranet (LAN) over the IPSec tunnel to a client in the extranet (WLAN). This works fine and 
encrypted as long as the tunnel is up. 

But, it works also (but unencrypted) when the tunnel is down. I'd like to force my ASG to use the VPN tunnel - or stop sending traffic if the tunnel is down.

How to realize this? Any ideas? Any kind of help/support/hints would be greatly appreciated!

By for now

Guido


This thread was automatically locked due to age.
Parents
  • 0
    Hi Bob,

    thanks again for your reply and your suggestions!

    If I really would delete or disable rule 3 I don't get any traffic from the VPN client to my internal network called intranet. Don't know why. But, so it is. 

    Therefor I implemented my VPN in another way which works fine for me and stopped unencrypted traffic coming in over the extranet interface using addresses from the extranet pool. 

    Well, I'll write down what I did here because may be somebody else has a similar job to do or is just interested in what I did.

    First of all, what did I really want to do? Actually I only want to do 3 things for or from my machines in the extranet: 

    [LIST=1]
    • get an IP address for them
    • establish an IPSec VPN tunnel from them to the extranet interface of the ASG
    • force all traffic from the clients through the VPN tunnel established just before. No bypass for any kind of traffic at all, no splitting mode on the client's NIC, etc.  
    [/LIST]
    Well, offering and assigning an IP address could easily be done by the DHCP server on the ASG. I configured it in a way that only clients with specific MAC addresses will get a predefined static IP addresses.

    On the clients itself I'm using the Shrew Soft VPN client furthermore. But, I switched over from "Direct Adapter Mode" to "Virtual Adapter Mode" and assigned a new RFC 1918 private IP address to it.

    On the ASG I defined a new IP address pool called "extranet VPN IP pool". This pool contains the RFC 1918 address assigned to the "Virtual Adapter" mentioned above.

    Afterwards I replaced "extranet" by "extranet VPN IP pool" in rule 2 and 3. After establishing the VPN tunnel all things work in the way I really wanted.

    My VPN clients are configured to use the DNS Server in the intranet and just "surf" over the ASG's proxy reachable via it's intranet NIC.

    While sniffing the extranet I saw ESP and (some times) ISAKMP packages only. And - very seldom - a few arp request from the ASG itself which don't matter.

    Well, now I'm done! Thanks for reading and good luck! 

    Greetinx

    Guido
Reply
  • 0
    Hi Bob,

    thanks again for your reply and your suggestions!

    If I really would delete or disable rule 3 I don't get any traffic from the VPN client to my internal network called intranet. Don't know why. But, so it is. 

    Therefor I implemented my VPN in another way which works fine for me and stopped unencrypted traffic coming in over the extranet interface using addresses from the extranet pool. 

    Well, I'll write down what I did here because may be somebody else has a similar job to do or is just interested in what I did.

    First of all, what did I really want to do? Actually I only want to do 3 things for or from my machines in the extranet: 

    [LIST=1]
    • get an IP address for them
    • establish an IPSec VPN tunnel from them to the extranet interface of the ASG
    • force all traffic from the clients through the VPN tunnel established just before. No bypass for any kind of traffic at all, no splitting mode on the client's NIC, etc.  
    [/LIST]
    Well, offering and assigning an IP address could easily be done by the DHCP server on the ASG. I configured it in a way that only clients with specific MAC addresses will get a predefined static IP addresses.

    On the clients itself I'm using the Shrew Soft VPN client furthermore. But, I switched over from "Direct Adapter Mode" to "Virtual Adapter Mode" and assigned a new RFC 1918 private IP address to it.

    On the ASG I defined a new IP address pool called "extranet VPN IP pool". This pool contains the RFC 1918 address assigned to the "Virtual Adapter" mentioned above.

    Afterwards I replaced "extranet" by "extranet VPN IP pool" in rule 2 and 3. After establishing the VPN tunnel all things work in the way I really wanted.

    My VPN clients are configured to use the DNS Server in the intranet and just "surf" over the ASG's proxy reachable via it's intranet NIC.

    While sniffing the extranet I saw ESP and (some times) ISAKMP packages only. And - very seldom - a few arp request from the ASG itself which don't matter.

    Well, now I'm done! Thanks for reading and good luck! 

    Greetinx

    Guido
Children
No Data