Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 15878 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN clients need special gateway and internal IP

LoD
Hello @ all,

we have just moved from ISA Server 2006 to ASG (Full Guard) and now I discovered a major problem:

We are using an ERP application client which connects via telnet to the hoster's network. Within our company's intranet the ip address 192.168.143.1 (cisco; fully managed by the hoster) routes this telnet sessions. Only workstations from within a specified range (10-72) are allowed to transmit packets through the cisco.

In the past I had the following setup:
- internal DHCP-Server with classless routing configured (DHCP-Range: 10-99)
- DHCP-pool matches the specific allowed intranet-range
- reservations for ERP-using clients
- ISA-server uses this address pool
- vpn enabled users are in an security group
- each vpn enabled user had a static ip configured for dialing in

Now how can I configure our new astaro to fullfill the basic requirements for the application to work?

Any help is greatly appreciated.

Regards,
LoD


This thread was automatically locked due to age.
Parents
  • 0
    Quick and dirty if you have 9 or fewer remote access users and you aren't using any internal IPs above .63: Change the Astaro interface to 192.168.143.*/26 and the VPN Pool to 192.168.143.64/28.

    A bit more elegant would be to leave the interface as /24, return the VPN Pool to its original 10.242.3.0/24 and create a NAT rule for each user like

    Jonathan (User Network) -> Any -> {192.168.143.1} : SNAT from {dedicated IP in 10-72}



    Instead of adding these users as local users in the Astaro, you can make this a bit easier by using the RADIUS capability of your Windows server.  It's fairly easy to configure a RADIUS backend group on the Astaro.  Then, you determine in AD which users are allowed L2TP access.

    You also could switch to the free Astaro SSL VPN client using the SNAT idea above.  SSL remote users can be authenticated directly against your AD.  The Backend Group that you allow access can be configured to consider only members in your AD Security group.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi and thanks, Bob.

    I tested some configurations but now I got stuck. The test-connection was successful: 

    User authentication:

    Authentication test passed.


    User is a member of the following groups:

    COMPANY.Astaro.radius


    But when I try to dial-in I get error 691: User/Pass combination not recognized or authentication protocol not recognized.

    I guess I'm missing some settings but don't know what that would be. Would you please help there?

    Thanks in advance
    LoD


    The Logfile:

    2011:11:08-16:46:59 mail pptpd[11109]: CTRL: Client 88.128.228.139 control connection started
    2011:11:08-16:46:59 mail pptpd[11109]: CTRL: Starting call (launching pppd, opening GRE)
    2011:11:08-16:46:59 mail pppd-pptp[11112]: Plugin radius.so loaded.
    2011:11:08-16:46:59 mail pppd-pptp[11112]: RADIUS plugin initialized.
    2011:11:08-16:46:59 mail pppd-pptp[11112]: Plugin radattr.so loaded.
    2011:11:08-16:46:59 mail pppd-pptp[11112]: RADATTR plugin initialized.
    2011:11:08-16:46:59 mail pppd-pptp[11112]: Plugin dhcpc.so loaded.
    2011:11:08-16:46:59 mail pppd-pptp[11112]: DHCPC: plugin initialized
    2011:11:08-16:46:59 mail pppd-pptp[11112]: pppd 2.4.5 started by (unknown), uid 0
    2011:11:08-16:46:59 mail pppd-pptp[11112]: Starting negotiation on /dev/ttyp0
    2011:11:08-16:46:59 mail pptpd[11109]: GRE: Bad checksum from pppd.
    2011:11:08-16:47:02 mail pptpd[11109]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
    2011:11:08-16:47:02 mail pppd-pptp[11112]: rc_map2id: can't find tty /dev/ in map database
    2011:11:08-16:47:02 mail pppd-pptp[11112]: rc_check_reply: received invalid reply digest from RADIUS server
    2011:11:08-16:47:02 mail pppd-pptp[11112]: Peer DOMAIN\givenname.sname failed CHAP authentication
    2011:11:08-16:47:03 mail pptpd[11109]: GRE: read(fd=6,buffer=805a540,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
    2011:11:08-16:47:03 mail pptpd[11109]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
    2011:11:08-16:47:03 mail pptpd[11109]: CTRL: Reaping child PPP[11112]
    2011:11:08-16:47:03 mail pptpd[11109]: CTRL: Client 88.128.228.139 control connection finished
    2011:11:08-16:47:03 mail pppd-pptp[11112]: Connection terminated.
    2011:11:08-16:47:03 mail pppd-pptp[11112]: Exit.


    I wonder if the double-backslash is correct or if it should be just one ?! Also both, client and server a setup to use L2TP, so I don't know why CHAP auth is logged ?!
Reply
  • 0 in reply to BAlfson
    Hi and thanks, Bob.

    I tested some configurations but now I got stuck. The test-connection was successful: 

    User authentication:

    Authentication test passed.


    User is a member of the following groups:

    COMPANY.Astaro.radius


    But when I try to dial-in I get error 691: User/Pass combination not recognized or authentication protocol not recognized.

    I guess I'm missing some settings but don't know what that would be. Would you please help there?

    Thanks in advance
    LoD


    The Logfile:

    2011:11:08-16:46:59 mail pptpd[11109]: CTRL: Client 88.128.228.139 control connection started
    2011:11:08-16:46:59 mail pptpd[11109]: CTRL: Starting call (launching pppd, opening GRE)
    2011:11:08-16:46:59 mail pppd-pptp[11112]: Plugin radius.so loaded.
    2011:11:08-16:46:59 mail pppd-pptp[11112]: RADIUS plugin initialized.
    2011:11:08-16:46:59 mail pppd-pptp[11112]: Plugin radattr.so loaded.
    2011:11:08-16:46:59 mail pppd-pptp[11112]: RADATTR plugin initialized.
    2011:11:08-16:46:59 mail pppd-pptp[11112]: Plugin dhcpc.so loaded.
    2011:11:08-16:46:59 mail pppd-pptp[11112]: DHCPC: plugin initialized
    2011:11:08-16:46:59 mail pppd-pptp[11112]: pppd 2.4.5 started by (unknown), uid 0
    2011:11:08-16:46:59 mail pppd-pptp[11112]: Starting negotiation on /dev/ttyp0
    2011:11:08-16:46:59 mail pptpd[11109]: GRE: Bad checksum from pppd.
    2011:11:08-16:47:02 mail pptpd[11109]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
    2011:11:08-16:47:02 mail pppd-pptp[11112]: rc_map2id: can't find tty /dev/ in map database
    2011:11:08-16:47:02 mail pppd-pptp[11112]: rc_check_reply: received invalid reply digest from RADIUS server
    2011:11:08-16:47:02 mail pppd-pptp[11112]: Peer DOMAIN\givenname.sname failed CHAP authentication
    2011:11:08-16:47:03 mail pptpd[11109]: GRE: read(fd=6,buffer=805a540,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
    2011:11:08-16:47:03 mail pptpd[11109]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
    2011:11:08-16:47:03 mail pptpd[11109]: CTRL: Reaping child PPP[11112]
    2011:11:08-16:47:03 mail pptpd[11109]: CTRL: Client 88.128.228.139 control connection finished
    2011:11:08-16:47:03 mail pppd-pptp[11112]: Connection terminated.
    2011:11:08-16:47:03 mail pppd-pptp[11112]: Exit.


    I wonder if the double-backslash is correct or if it should be just one ?! Also both, client and server a setup to use L2TP, so I don't know why CHAP auth is logged ?!
Children
No Data