Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 15878 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN clients need special gateway and internal IP

LoD
Hello @ all,

we have just moved from ISA Server 2006 to ASG (Full Guard) and now I discovered a major problem:

We are using an ERP application client which connects via telnet to the hoster's network. Within our company's intranet the ip address 192.168.143.1 (cisco; fully managed by the hoster) routes this telnet sessions. Only workstations from within a specified range (10-72) are allowed to transmit packets through the cisco.

In the past I had the following setup:
- internal DHCP-Server with classless routing configured (DHCP-Range: 10-99)
- DHCP-pool matches the specific allowed intranet-range
- reservations for ERP-using clients
- ISA-server uses this address pool
- vpn enabled users are in an security group
- each vpn enabled user had a static ip configured for dialing in

Now how can I configure our new astaro to fullfill the basic requirements for the application to work?

Any help is greatly appreciated.

Regards,
LoD


This thread was automatically locked due to age.
Parents
  • 0
    You might need to enable PAP on your RADIUS server Remote Access Policy for "l2tp".  Also, in  Astaro Authentication, the Active Directory Server must be below any other auth servers that depend on it.  I usually put RADIUS at the top (although this was fixed before V8.3).

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob, it's me again :-)

    Tried gaining l2tp-Access for some days and now started over again. (I changed the order of authentication servers. Now authentication works fine. -> Thanks for the hint!). I deleted any NPS-setting concerning my failed config. Still I can't connect using PPTP or L2TP.

    So here are my NPS-settings. Maybe I missed something:
    CRP: 
    Type of NAS == unspecified
    NAS Identifier == pptp
    Client IPv4 Address == 
    Auth Methods: unchecked "override network policy authentication settings"
    Auth: ..Authenticate requests on this server (it's a DC)

    NetPol:
    Overview: Grant Access + Ignore User account dial-in prop +  unspecified
    Conditions: Windows Groups == \VPN-Enabled + NAS Identifier == pptp
    Contraints: Auth Methods == MS-CHAP-v2 + MS-CHAP + CHAP + PAP/SPAP
    Settings: Standard: Frame-Protocol == PPP +  Service-Type == Framed
    -------->NAP Enforcement: Allow full network access +  Auto remediation:CHECKED
    -------->BAP: Server settings determine Multilink usage
    -------->IP Filters: none
    --------> Encryption: all checked (including "No Encryption")
    --------> IP Settings: Server settings determine IP address assignment

    With this settings I can test a user account on the astaro and the security log states :
    1. Network Policy Server granted access to a user.
    2. Network Policy Server granted full access to a user because the host met the defined health policy.

    But still the client's VPN connection gives me error 691.

    Using L2TP I don't even get any log entries on the server.

    Will I have to open ports for L2TP / IPsec? My Site2Site connection is stable without having ports opened.

    Greetings
    bofh
Reply
  • 0 in reply to BAlfson
    Hi Bob, it's me again :-)

    Tried gaining l2tp-Access for some days and now started over again. (I changed the order of authentication servers. Now authentication works fine. -> Thanks for the hint!). I deleted any NPS-setting concerning my failed config. Still I can't connect using PPTP or L2TP.

    So here are my NPS-settings. Maybe I missed something:
    CRP: 
    Type of NAS == unspecified
    NAS Identifier == pptp
    Client IPv4 Address == 
    Auth Methods: unchecked "override network policy authentication settings"
    Auth: ..Authenticate requests on this server (it's a DC)

    NetPol:
    Overview: Grant Access + Ignore User account dial-in prop +  unspecified
    Conditions: Windows Groups == \VPN-Enabled + NAS Identifier == pptp
    Contraints: Auth Methods == MS-CHAP-v2 + MS-CHAP + CHAP + PAP/SPAP
    Settings: Standard: Frame-Protocol == PPP +  Service-Type == Framed
    -------->NAP Enforcement: Allow full network access +  Auto remediation:CHECKED
    -------->BAP: Server settings determine Multilink usage
    -------->IP Filters: none
    --------> Encryption: all checked (including "No Encryption")
    --------> IP Settings: Server settings determine IP address assignment

    With this settings I can test a user account on the astaro and the security log states :
    1. Network Policy Server granted access to a user.
    2. Network Policy Server granted full access to a user because the host met the defined health policy.

    But still the client's VPN connection gives me error 691.

    Using L2TP I don't even get any log entries on the server.

    Will I have to open ports for L2TP / IPsec? My Site2Site connection is stable without having ports opened.

    Greetings
    bofh
Children
No Data