Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 15878 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN clients need special gateway and internal IP

LoD
Hello @ all,

we have just moved from ISA Server 2006 to ASG (Full Guard) and now I discovered a major problem:

We are using an ERP application client which connects via telnet to the hoster's network. Within our company's intranet the ip address 192.168.143.1 (cisco; fully managed by the hoster) routes this telnet sessions. Only workstations from within a specified range (10-72) are allowed to transmit packets through the cisco.

In the past I had the following setup:
- internal DHCP-Server with classless routing configured (DHCP-Range: 10-99)
- DHCP-pool matches the specific allowed intranet-range
- reservations for ERP-using clients
- ISA-server uses this address pool
- vpn enabled users are in an security group
- each vpn enabled user had a static ip configured for dialing in

Now how can I configure our new astaro to fullfill the basic requirements for the application to work?

Any help is greatly appreciated.

Regards,
LoD


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to BAlfson
    The Astaro log for L2TP:

    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008]
    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [RFC 3947]
    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [FRAGMENTATION]
    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]
    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [Vid-Initial-Contact]
    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [IKE CGA version 1]
    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: initial Main Mode message received on 209.251.***.***:500 but no connection has been authorized with policy=PSK 
    .

    For PPTP:

    2011:11:17-20:33:16 mail pptpd[27448]: CTRL: Client 79.204.***.*** control connection started
    2011:11:17-20:33:16 mail pptpd[27448]: CTRL: Starting call (launching pppd, opening GRE)
    2011:11:17-20:33:16 mail pppd-pptp[27451]: Plugin radius.so loaded.
    2011:11:17-20:33:16 mail pppd-pptp[27451]: RADIUS plugin initialized.
    2011:11:17-20:33:16 mail pppd-pptp[27451]: Plugin radattr.so loaded.
    2011:11:17-20:33:16 mail pppd-pptp[27451]: RADATTR plugin initialized.
    2011:11:17-20:33:16 mail pppd-pptp[27451]: Plugin dhcpc.so loaded.
    2011:11:17-20:33:16 mail pppd-pptp[27451]: DHCPC: plugin initialized
    2011:11:17-20:33:16 mail pppd-pptp[27451]: pppd 2.4.5 started by (unknown), uid 0
    2011:11:17-20:33:16 mail pppd-pptp[27451]: Starting negotiation on /dev/ttyp0
    2011:11:17-20:33:16 mail pptpd[27448]: GRE: Bad checksum from pppd.
    2011:11:17-20:33:19 mail pptpd[27448]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
    2011:11:17-20:33:19 mail pppd-pptp[27451]: rc_map2id: can't find tty /dev/ in map database
    2011:11:17-20:33:19 mail pppd-pptp[27451]: rc_check_reply: received invalid reply digest from RADIUS server
    2011:11:17-20:33:19 mail pppd-pptp[27451]: Peer DOMAIN\givenname.sname failed CHAP authentication
    2011:11:17-20:33:19 mail pptpd[27448]: GRE: read(fd=6,buffer=805a540,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
    2011:11:17-20:33:19 mail pptpd[27448]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
    2011:11:17-20:33:19 mail pptpd[27448]: CTRL: Reaping child PPP[27451]
    2011:11:17-20:33:19 mail pptpd[27448]: CTRL: Client 79.204.***.*** control connection finished
    2011:11:17-20:33:19 mail pppd-pptp[27451]: Connection terminated.
    2011:11:17-20:33:19 mail pppd-pptp[27451]: Exit.



    Greetinx
    bofh

    EDIT: A stupid question: I created a backend authorization group on the Astaro. Will this be used in any way during the authentication process?