Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 2218 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN pool bug (or feature?)

gartoffel
Well, it's me again, hi guys!

I promise, I won't bother you anymore (or at least not that much) once the evaluation of the units is done, but right now I need to know whether the following behavior is a bug or a feature:

I added two VPN IPSec connections. They are quite simple:

  • COMPANY1: Policy states, that they can connect to external IP A using X.509 as authentication method, XAUTH is enabled. They should get an IP out of POOL_COMPANY1 (10.5.111.0/24) and then be able to connect to VLAN1 (10.5.110.0/24).
  • COMPANY2: Policy states, that they can connect to the same external IP A using X.509 as authentication method, XAUTH is also enabled. They on the other hand should get an IP out of POOL_COMPANY2 (10.5.121.0/24) and then connect to a VLAN2 (10.5.120.0/24).

So far so good, everything works great (StrongSwan's doing a great job here *wink*).

Scenario
Let's say I have a user "support". He helps COMPANY1 and COMPANY2 maintain their servers. So he set up two policies on his computer - one to be able to connect to remote VLAN1 and one to remote VLAN2.

Expected result
What I expected to happen was that this user "support" gets an IP out of POOL_COMPANY1 when connecting using the policy of COMPANY1. And that he gets another IP out of POOL_COMPANY2 when connecting using the policy of COMPANY2.

Actual result
What I get is this: No matter with what policy I connect, I always get the same IP out of POOL_COMPANY1. It's like Astaro is caching my VPN mode_cfg answer which is really annoying in my case.

Bug or a feature, that is the question?

Cheers and thanks,
Manuel


This thread was automatically locked due to age.
Parents
  • 0
    Hi guys

    It turns out that the VPN server does not know about the destination network at the time it allocates an IP out of the VPN pool (this happens during main mode). Therefore, the server can't decide, which VPN policy the client intended to use and as a result randomly assigns IPs.
    The workaround for the time being would be: Create one large VPN pool and define several firewall rules based on UserGroup objects. This way, it is at least possible to maintain a certain order.

    When I have some time to spare, I will further investigate this issue and try to find a solution. Of course, with IPv6, one would just assign each client an external IP for his policy to connect to - problem solved. But with the scarcity of IPv4 addresses I don't dare to do so right now.

    Cheers,
    Manuel
Reply
  • 0
    Hi guys

    It turns out that the VPN server does not know about the destination network at the time it allocates an IP out of the VPN pool (this happens during main mode). Therefore, the server can't decide, which VPN policy the client intended to use and as a result randomly assigns IPs.
    The workaround for the time being would be: Create one large VPN pool and define several firewall rules based on UserGroup objects. This way, it is at least possible to maintain a certain order.

    When I have some time to spare, I will further investigate this issue and try to find a solution. Of course, with IPv6, one would just assign each client an external IP for his policy to connect to - problem solved. But with the scarcity of IPv4 addresses I don't dare to do so right now.

    Cheers,
    Manuel
Children
No Data