VPN clients need special gateway and internal IP

I can't "see" what you have or even guess what problem you're describing.  Do you still have a Windows domain internally?  Still using Active Directory?  Have you moved DHCP from your Windows Server?  Do you still have the AD Security Groups?  Etc.

Maybe you could draw a diagram for us to help - and that might help you solve this yourself.

Cheers - Bob

Thanks for the quick reply. I tried to draw a diagram. Hope it will clarify. The important additions:

The VPN-clients have to get one IP from within the internal allowed ERP-range. Otherwise the login server will deny the connection.

The static route configured within DHCP-options in necessary for the clients to reach the ERP-system which has a public IP but allows connection only from the customer's side cisco routers.

The fact that the users could login with their network credentials made drive mappings and accessing the exchange server easier. (I don't know how that could be done in another way)


If you need more information let me know. I am still hopeful that Astaro can do what ISA can :-)


regards,
LoD

Quick and dirty if you have 9 or fewer remote access users and you aren't using any internal IPs above .63: Change the Astaro interface to 192.168.143.*/26 and the VPN Pool to 192.168.143.64/28.

A bit more elegant would be to leave the interface as /24, return the VPN Pool to its original 10.242.3.0/24 and create a NAT rule for each user like

Jonathan (User Network) -> Any -> {192.168.143.1} : SNAT from {dedicated IP in 10-72}

Instead of adding these users as local users in the Astaro, you can make this a bit easier by using the RADIUS capability of your Windows server.  It's fairly easy to configure a RADIUS backend group on the Astaro.  Then, you determine in AD which users are allowed L2TP access.

You also could switch to the free Astaro SSL VPN client using the SNAT idea above.  SSL remote users can be authenticated directly against your AD.  The Backend Group that you allow access can be configured to consider only members in your AD Security group.

Cheers - Bob

Hi and thanks, Bob.

I tested some configurations but now I got stuck. The test-connection was successful: 

User authentication:

Authentication test passed.


User is a member of the following groups:

COMPANY.Astaro.radius

But when I try to dial-in I get error 691: User/Pass combination not recognized or authentication protocol not recognized.

I guess I'm missing some settings but don't know what that would be. Would you please help there?

Thanks in advance
LoD


The Logfile:

2011:11:08-16:46:59 mail pptpd[11109]: CTRL: Client 88.128.228.139 control connection started
2011:11:08-16:46:59 mail pptpd[11109]: CTRL: Starting call (launching pppd, opening GRE)
2011:11:08-16:46:59 mail pppd-pptp[11112]: Plugin radius.so loaded.
2011:11:08-16:46:59 mail pppd-pptp[11112]: RADIUS plugin initialized.
2011:11:08-16:46:59 mail pppd-pptp[11112]: Plugin radattr.so loaded.
2011:11:08-16:46:59 mail pppd-pptp[11112]: RADATTR plugin initialized.
2011:11:08-16:46:59 mail pppd-pptp[11112]: Plugin dhcpc.so loaded.
2011:11:08-16:46:59 mail pppd-pptp[11112]: DHCPC: plugin initialized
2011:11:08-16:46:59 mail pppd-pptp[11112]: pppd 2.4.5 started by (unknown), uid 0
2011:11:08-16:46:59 mail pppd-pptp[11112]: Starting negotiation on /dev/ttyp0
2011:11:08-16:46:59 mail pptpd[11109]: GRE: Bad checksum from pppd.
2011:11:08-16:47:02 mail pptpd[11109]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
2011:11:08-16:47:02 mail pppd-pptp[11112]: rc_map2id: can't find tty /dev/ in map database
2011:11:08-16:47:02 mail pppd-pptp[11112]: rc_check_reply: received invalid reply digest from RADIUS server
2011:11:08-16:47:02 mail pppd-pptp[11112]: Peer DOMAIN\givenname.sname failed CHAP authentication
2011:11:08-16:47:03 mail pptpd[11109]: GRE: read(fd=6,buffer=805a540,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
2011:11:08-16:47:03 mail pptpd[11109]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
2011:11:08-16:47:03 mail pptpd[11109]: CTRL: Reaping child PPP[11112]
2011:11:08-16:47:03 mail pptpd[11109]: CTRL: Client 88.128.228.139 control connection finished
2011:11:08-16:47:03 mail pppd-pptp[11112]: Connection terminated.
2011:11:08-16:47:03 mail pppd-pptp[11112]: Exit.

I wonder if the double-backslash is correct or if it should be just one ?! Also both, client and server a setup to use L2TP, so I don't know why CHAP auth is logged ?!

You might need to enable PAP on your RADIUS server Remote Access Policy for "l2tp".  Also, in  Astaro Authentication, the Active Directory Server must be below any other auth servers that depend on it.  I usually put RADIUS at the top (although this was fixed before V8.3).

Cheers - Bob

Hi Bob, it's me again :-)

Tried gaining l2tp-Access for some days and now started over again. (I changed the order of authentication servers. Now authentication works fine. -> Thanks for the hint!). I deleted any NPS-setting concerning my failed config. Still I can't connect using PPTP or L2TP.

So here are my NPS-settings. Maybe I missed something:
CRP: 
Type of NAS == unspecified
NAS Identifier == pptp
Client IPv4 Address == 
Auth Methods: unchecked "override network policy authentication settings"
Auth: ..Authenticate requests on this server (it's a DC)

NetPol:
Overview: Grant Access + Ignore User account dial-in prop +  unspecified
Conditions: Windows Groups == \VPN-Enabled + NAS Identifier == pptp
Contraints: Auth Methods == MS-CHAP-v2 + MS-CHAP + CHAP + PAP/SPAP
Settings: Standard: Frame-Protocol == PPP +  Service-Type == Framed
-------->NAP Enforcement: Allow full network access +  Auto remediation:CHECKED
-------->BAP: Server settings determine Multilink usage
-------->IP Filters: none
--------> Encryption: all checked (including "No Encryption")
--------> IP Settings: Server settings determine IP address assignment

With this settings I can test a user account on the astaro and the security log states :
1. Network Policy Server granted access to a user.
2. Network Policy Server granted full access to a user because the host met the defined health policy.

But still the client's VPN connection gives me error 691.

Using L2TP I don't even get any log entries on the server.

Will I have to open ports for L2TP / IPsec? My Site2Site connection is stable without having ports opened.

Greetings
bofh

What is in the Astaro logfile for a single connection attempt?

Cheers - Bob

The Astaro log for L2TP:

2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008]
2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [RFC 3947]
2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [FRAGMENTATION]
2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]
2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [Vid-Initial-Contact]
2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [IKE CGA version 1]
2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: initial Main Mode message received on 209.251.***.***:500 but no connection has been authorized with policy=PSK 

.

For PPTP:

2011:11:17-20:33:16 mail pptpd[27448]: CTRL: Client 79.204.***.*** control connection started
2011:11:17-20:33:16 mail pptpd[27448]: CTRL: Starting call (launching pppd, opening GRE)
2011:11:17-20:33:16 mail pppd-pptp[27451]: Plugin radius.so loaded.
2011:11:17-20:33:16 mail pppd-pptp[27451]: RADIUS plugin initialized.
2011:11:17-20:33:16 mail pppd-pptp[27451]: Plugin radattr.so loaded.
2011:11:17-20:33:16 mail pppd-pptp[27451]: RADATTR plugin initialized.
2011:11:17-20:33:16 mail pppd-pptp[27451]: Plugin dhcpc.so loaded.
2011:11:17-20:33:16 mail pppd-pptp[27451]: DHCPC: plugin initialized
2011:11:17-20:33:16 mail pppd-pptp[27451]: pppd 2.4.5 started by (unknown), uid 0
2011:11:17-20:33:16 mail pppd-pptp[27451]: Starting negotiation on /dev/ttyp0
2011:11:17-20:33:16 mail pptpd[27448]: GRE: Bad checksum from pppd.
2011:11:17-20:33:19 mail pptpd[27448]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
2011:11:17-20:33:19 mail pppd-pptp[27451]: rc_map2id: can't find tty /dev/ in map database
2011:11:17-20:33:19 mail pppd-pptp[27451]: rc_check_reply: received invalid reply digest from RADIUS server
2011:11:17-20:33:19 mail pppd-pptp[27451]: Peer DOMAIN\givenname.sname failed CHAP authentication
2011:11:17-20:33:19 mail pptpd[27448]: GRE: read(fd=6,buffer=805a540,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
2011:11:17-20:33:19 mail pptpd[27448]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
2011:11:17-20:33:19 mail pptpd[27448]: CTRL: Reaping child PPP[27451]
2011:11:17-20:33:19 mail pptpd[27448]: CTRL: Client 79.204.***.*** control connection finished
2011:11:17-20:33:19 mail pppd-pptp[27451]: Connection terminated.
2011:11:17-20:33:19 mail pppd-pptp[27451]: Exit.

Greetinx
bofh

EDIT: A stupid question: I created a backend authorization group on the Astaro. Will this be used in any way during the authentication process?

In L2TP, there are two possibilities I can think of.  First, the Astaro can have only a single PSK for L2TP, IPsec 'Remote Access' and any "Respond only" 'Remote Gateways' in Site-to-Site (this was changed in V8 with the 'Enable probing of preshared keys' selection').  More likely is that, in configuring the client, you didn't uncheck 'Require data encryption'.

2011:11:17-20:33:19 mail pppd-pptp[27451]: rc_check_reply: received invalid reply digest from RADIUS server
2011:11:17-20:33:19 mail pppd-pptp[27451]: Peer DOMAIN\givenname.sname failed CHAP authentication

I would guess that the Remote Access Policy for "pptp" has a problem or the tested username is not authorized to use PPTP.

Cheers - Bob

Hi Bob,

I double-checked the username and password (copy & paste). Under "authentication servers" L2TP and PPTP with my user data succeeded.

After that I played around with the settings after reading THIS Thread. 

I now have NPS-CRP Authentication to override network policy and marked MS-CHAP-v2 + MS-CHAP +  CHAP + PAP. (Conditions for PPTP-Access: NAS Identifier == pptp, Radius Client IP == astaro-internal-bridge-red. On client side I followed some hints (e.g. not to add domain;...) found here. Client-PPP-Settings are "use LCP" and "activate software compression"; Security settings are:
VPN-Type: PPTP; Encryption: Off; allowed protocols: PAP,CHAP, MS-CHAP v2.

With this set, I get the following Debug-Log for this connection:

2011:11:23-13:04:06 mail pptpd[17496]: MGR: Launching /usr/sbin/pptpctrl to handle client

2011:11:23-13:04:06 mail pptpd[17496]: CTRL: local address = 10.242.1.1

2011:11:23-13:04:06 mail pptpd[17496]: CTRL: remote address = 10.242.1.2

2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Client 80.187.47.43 control connection started

2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Received PPTP Control Message (type: 1)

2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Made a START CTRL CONN RPLY packet

2011:11:23-13:04:06 mail pptpd[17496]: CTRL: I wrote 156 bytes to the client.

2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Sent packet to client

2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Received PPTP Control Message (type: 7)

2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Set parameters to 100000000 maxbps, 64 window size

2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Made a OUT CALL RPLY packet

2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Starting call (launching pppd, opening GRE)

2011:11:23-13:04:06 mail pptpd[17496]: CTRL: pty_fd = 6

2011:11:23-13:04:06 mail pptpd[17496]: CTRL: tty_fd = 7

2011:11:23-13:04:06 mail pptpd[17496]: CTRL: I wrote 32 bytes to the client.

2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Sent packet to client

2011:11:23-13:04:06 mail pptpd[17499]: CTRL (PPPD Launcher): program binary = /usr/sbin/pppd

2011:11:23-13:04:06 mail pptpd[17499]: CTRL (PPPD Launcher): local address = 10.242.1.1

2011:11:23-13:04:06 mail pptpd[17499]: CTRL (PPPD Launcher): remote address = 10.242.1.2

2011:11:23-13:04:06 mail pppd-pptp[17499]: Plugin radius.so loaded.

2011:11:23-13:04:06 mail pppd-pptp[17499]: RADIUS plugin initialized.

2011:11:23-13:04:06 mail pppd-pptp[17499]: Plugin radattr.so loaded.

2011:11:23-13:04:06 mail pppd-pptp[17499]: RADATTR plugin initialized.

2011:11:23-13:04:06 mail pppd-pptp[17499]: Plugin dhcpc.so loaded.

2011:11:23-13:04:06 mail pppd-pptp[17499]: DHCPC: plugin initialized

2011:11:23-13:04:06 mail pppd-pptp[17499]: pppd 2.4.5 started by (unknown), uid 0

2011:11:23-13:04:06 mail pppd-pptp[17499]: using channel 52

2011:11:23-13:04:06 mail pppd-pptp[17499]: Starting negotiation on /dev/ttyp0

2011:11:23-13:04:06 mail pppd-pptp[17499]: sent [LCP ConfReq id=0x1        ]

2011:11:23-13:04:06 mail pptpd[17496]: GRE: Bad checksum from pppd.

2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Received PPTP Control Message (type: 15)

2011:11:23-13:04:06 mail pptpd[17496]: CTRL: Got a SET LINK INFO packet with standard ACCMs

2011:11:23-13:04:06 mail pptpd[17496]: GRE: accepting packet #0

2011:11:23-13:04:06 mail pppd-pptp[17499]: rcvd [LCP ConfReq id=0x0     ]

2011:11:23-13:04:06 mail pppd-pptp[17499]: sent [LCP ConfRej id=0x0 ]

2011:11:23-13:04:06 mail pptpd[17496]: GRE: accepting packet #1

2011:11:23-13:04:06 mail pppd-pptp[17499]: rcvd [LCP ConfReq id=0x1    ]

2011:11:23-13:04:06 mail pppd-pptp[17499]: sent [LCP ConfAck id=0x1    ]

2011:11:23-13:04:09 mail pppd-pptp[17499]: sent [LCP ConfReq id=0x1        ]

2011:11:23-13:04:09 mail pptpd[17496]: GRE: accepting packet #2

2011:11:23-13:04:09 mail pppd-pptp[17499]: rcvd [LCP ConfRej id=0x1  ]

2011:11:23-13:04:09 mail pppd-pptp[17499]: sent [LCP ConfReq id=0x2      ]

2011:11:23-13:04:09 mail pptpd[17496]: GRE: accepting packet #3

2011:11:23-13:04:09 mail pptpd[17496]: GRE: accepting packet #4

2011:11:23-13:04:09 mail pptpd[17496]: GRE: accepting packet #5

2011:11:23-13:04:09 mail pptpd[17496]: GRE: accepting packet #6

2011:11:23-13:04:09 mail pppd-pptp[17499]: rcvd [LCP ConfAck id=0x2      ]

2011:11:23-13:04:09 mail pppd-pptp[17499]: sent [LCP EchoReq id=0x0 magic=0x3da502b5]

2011:11:23-13:04:09 mail pppd-pptp[17499]: sent [CHAP Challenge id=0x3d , name = "pptp"]

2011:11:23-13:04:09 mail pppd-pptp[17499]: rcvd [LCP Ident id=0x2 magic=0x7f070e13 "MSRASV5.20"]

2011:11:23-13:04:09 mail pppd-pptp[17499]: rcvd [LCP Ident id=0x3 magic=0x7f070e13 "MSRAS-0-NB05"]

2011:11:23-13:04:09 mail pppd-pptp[17499]: rcvd [LCP Ident id=0x4 magic=0x7f070e13 "\177T\377777777277\37777777773\037LM\37777777617\37777777611\37777777673\377777776440L\37777777730U"]

2011:11:23-13:04:09 mail pptpd[17496]: CTRL: Received PPTP Control Message (type: 15)

2011:11:23-13:04:09 mail pptpd[17496]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!

2011:11:23-13:04:09 mail pptpd[17496]: GRE: accepting packet #7

2011:11:23-13:04:09 mail pppd-pptp[17499]: rcvd [LCP EchoRep id=0x0 magic=0x7f070e13]

2011:11:23-13:04:09 mail pptpd[17496]: GRE: accepting packet #8

2011:11:23-13:04:09 mail pppd-pptp[17499]: rcvd [CHAP Response id=0x3d , name = "DOMAIN\my.account"]

2011:11:23-13:04:09 mail pppd-pptp[17499]: rc_map2id: can't find tty /dev/ in map database

2011:11:23-13:04:09 mail pppd-pptp[17499]: rc_check_reply: received invalid reply digest from RADIUS server

2011:11:23-13:04:09 mail pppd-pptp[17499]: Peer DOMAIN\my.account failed CHAP authentication

2011:11:23-13:04:09 mail pppd-pptp[17499]: sent [CHAP Failure id=0x3d ""]

2011:11:23-13:04:09 mail pppd-pptp[17499]: sent [LCP TermReq id=0x3 "Authentication failed"]

2011:11:23-13:04:09 mail pptpd[17496]: GRE: accepting packet #9

2011:11:23-13:04:09 mail pptpd[17496]: GRE: read(fd=6,buffer=805a540,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs

2011:11:23-13:04:09 mail pptpd[17496]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)

2011:11:23-13:04:09 mail pptpd[17496]: CTRL: Reaping child PPP[17499]

2011:11:23-13:04:09 mail pptpd[17496]: CTRL: Client 80.187.47.43 control connection finished

2011:11:23-13:04:09 mail pptpd[17496]: CTRL: Exiting now

2011:11:23-13:04:09 mail pppd-pptp[17499]: rcvd [LCP TermAck id=0x3 "Authentication failed"]

2011:11:23-13:04:09 mail pppd-pptp[17499]: Connection terminated.

2011:11:23-13:04:09 mail pppd-pptp[17499]: DHCPC: entering none listen mode on br0

2011:11:23-13:04:09 mail pppd-pptp[17499]: RADATTR plugin removed file /var/run/radattr..

2011:11:23-13:04:09 mail pppd-pptp[17499]: Exit.

2011:11:23-13:04:09 mail pptpd[13632]: MGR: Reaped child 17496 

Result: VPN-Error 691