Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 3565 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

L2TP VPN with Astaro behind NAT

igritsak
Hi all,

At home I have my Astaro v8 setup as a VM.  The WAN interface of the ASG is an LAN IP behind my D-Link router and the LAN interface of the ASG gives DHCP on a completely separate subnet.  Basically a network in a network.  

Since the ASG's WAN IP is a on my LAN and not the actual Public IP, is there a way I can still VPN using L2TP or SSL VPN to the ASG?  Any forwarding I can do from my D-Link router to the WAN interface of the ASG and then just change the VPN connection IP of the connecting device to the Public IP of my home DSL connection?

Thanks for the help.


This thread was automatically locked due to age.
Parents
  • 0
    Hi Jon,

    I've been able to change the domain name override field so that it uses IP instead of FQDN for the server field.  The SSL VPN client on the laptop works properly now.  I know I'll have to do some routing and packet filter rules so that the IP I get from the VPN pool to reach my local network services but that should be easy. 

    Currently what I'm trying is to have all the proper VPN ports used for the L2TP IPSec by iPhone to forward directly to the WAN port of my ASG from the D-Link router.  Seems like the forwarding is working fine from the router but I get an error on iPhone that the VPN server did not respond.  Looking at the live log of the VPN on the AS I get this each time I try to connect:

    ---
    2010:11:26-23:05:39 alpha pluto[3802]: ERROR: asynchronous network error report on eth1 for message to 192.168.1.3 port 61112, complainant 192.168.1.3: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)] 
    ---

    192.168.1.3 is the LAN IP of the D-Link router.  Since the traffic is NAT'd in front of the ASG, do I have to look at DNAT or SNAT config for this?  I'm not really clear on how those two work yet though.
  • 0 in reply to igritsak
    ---
    2010:11:26-23:05:39 alpha pluto[3802]: ERROR: asynchronous network error report on eth1 for message to 192.168.1.3 port 61112, complainant 192.168.1.3: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)] 
    ---

    192.168.1.3 is the LAN IP of the D-Link router.  Since the traffic is NAT'd in front of the ASG, do I have to look at DNAT or SNAT config for this?  I'm not really clear on how those two work yet though.


    I'm not really sure myself what DNAT or SNAT are, to be honest.  Someone with a bit more networking knowledge will tell you that.  All I can say is to make sure you've entered the correct VPN details on your iPhone (i.e. username, password, server address etc).

    Also have a look at this link which tells you a bit more about the 'ICMP type 3 code 3' entry in your log file.  This may or may not help determine what is going wrong with your connection attempts.
Reply
  • 0 in reply to igritsak
    ---
    2010:11:26-23:05:39 alpha pluto[3802]: ERROR: asynchronous network error report on eth1 for message to 192.168.1.3 port 61112, complainant 192.168.1.3: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)] 
    ---

    192.168.1.3 is the LAN IP of the D-Link router.  Since the traffic is NAT'd in front of the ASG, do I have to look at DNAT or SNAT config for this?  I'm not really clear on how those two work yet though.


    I'm not really sure myself what DNAT or SNAT are, to be honest.  Someone with a bit more networking knowledge will tell you that.  All I can say is to make sure you've entered the correct VPN details on your iPhone (i.e. username, password, server address etc).

    Also have a look at this link which tells you a bit more about the 'ICMP type 3 code 3' entry in your log file.  This may or may not help determine what is going wrong with your connection attempts.
Children
No Data