iPhone VPN for using RDP

Hi, Mark, and welcome to the User BB!

Masquing the VPN Pools on the Internal interface is unnecessary.  Search the packet filter log for 10.242.3. to confirm that you need a packet filter rule.

Cheers - Bob

Hi Bob,

Thanks for replying. I have removed the masquerading rules as suggested. I am not seeing any reference to 10.242.3.2 in the Packet filter logs.

Can you make further suggestions.

Thanks,
Mark.

Another issue in some Windows domain that I don't understand but have learned to deal with is equivalence between the local username and password with those in your AD domain.  Maybe d12fk or someone else who knows will see this and explain.

A quick way to check that is to make sure the passwords are both the same.  Careful, the username in Astaro is case-sensitive, so, for example, I have BAlfson in our AD, but balfson as a local user on the Astaro.

If that resolves your issue, then you'll likely want to activate the RADIUS service for AD so you and your users don't need to manage two sets of passwords.  In the Astaro authentication server list, RADIUS must be above the AD server definition.

Cheers - Bob

Thanks for the information.

I have already enabled RADIUS and I am successfully connecting with my iPhone using my AD credentials. I don't have a local account as such but an account synced from AD.

Although I am connected i can't ping any pc's by IP or name in the office. Using the Astaro VPN client and my AD credentials I can connect with my laptop from home and Remote Desktop into work pc's.

Hopefully this will help narrow down the problem.

Thanks,
Mark.

Although I am connected i can't ping any pc's by IP or name in the office.

Can you connect with the standard Windows L2TP VPN client from your home PC?  If you have the same problem with it, then that would indicate there's a typo on the 'Remote Access >> Advanced' page.

If the problem is only on your iPhone, then I'd delete the configuration there and upload the iPhone profile via the Astaro User Portal.

Cheers - Bob

I haven't had a chance to try L2TP IPSec from my home PC yet, but I can now see the VPN IP address of my iPhone in the Packet Filter log.

As suggested I have downloaded the configuration to my iPhone again.

All requests made to by it to a couple of servers and the AD server have DEFAULT DROP against them.

The Remote Settings -> Advanced values are pointing to the IP address of both my internal DNS servers and domain is correct too.

Thanks,
Mark.

It looks like you need a packet filter rule 'VPN Pool (L2TP) -> Any -> {server group} : Allow'.

Cheers - Bob

I've got passed that hurdle by creating a packet filter rule  'VPN Pool (L2TP) -> Any -> Any : Allow'.

I can now see the packets going past in green to the server I am pinging and the DNS servers listed, however I'm still receiving a 'No Response From Host' with the iPhone ping app. I'm not seeing any packets in the log going the other way.

All my servers and PC's have a gateway pointing to our layer 3 switch and connect to the Internet using the Astaro as a proxy. I'm guessing that the server receives the ping but has route back out to the iPhone. This setup does however work when I connect from home using the Astaro VPN client.

Any further suggestions.

Thanks,
Mark.

Are you double-NATting?  I guess I don't "see" your network topology.

Response to pings is determined by the settings on the 'ICMP' tab of 'Packet Filter'.  If the Astaro isn't the default gateway for the internal devices, then you'll want to add a static route in your layer 3 switch, like '10.242.0.0/16 -> {IP of Astaro}'

Cheers - Bob

Thanks for your help Bob.

The final piece in the jigsaw was creating a static route in my layer 3 for the 10.242.0.0 subnet and pointing it to the Astaro.

I still can't ping but I understand why.

Thanks,
Mark.