Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 15886 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN clients need special gateway and internal IP

LoD
Hello @ all,

we have just moved from ISA Server 2006 to ASG (Full Guard) and now I discovered a major problem:

We are using an ERP application client which connects via telnet to the hoster's network. Within our company's intranet the ip address 192.168.143.1 (cisco; fully managed by the hoster) routes this telnet sessions. Only workstations from within a specified range (10-72) are allowed to transmit packets through the cisco.

In the past I had the following setup:
- internal DHCP-Server with classless routing configured (DHCP-Range: 10-99)
- DHCP-pool matches the specific allowed intranet-range
- reservations for ERP-using clients
- ISA-server uses this address pool
- vpn enabled users are in an security group
- each vpn enabled user had a static ip configured for dialing in

Now how can I configure our new astaro to fullfill the basic requirements for the application to work?

Any help is greatly appreciated.

Regards,
LoD


This thread was automatically locked due to age.
Parents
  • 0
    What is in the Astaro logfile for a single connection attempt?

    Cheers - Bob
  • 0 in reply to BAlfson
    The Astaro log for L2TP:

    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008]
    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [RFC 3947]
    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [FRAGMENTATION]
    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]
    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [Vid-Initial-Contact]
    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [IKE CGA version 1]
    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: initial Main Mode message received on 209.251.***.***:500 but no connection has been authorized with policy=PSK 
    .

    For PPTP:

    2011:11:17-20:33:16 mail pptpd[27448]: CTRL: Client 79.204.***.*** control connection started
    2011:11:17-20:33:16 mail pptpd[27448]: CTRL: Starting call (launching pppd, opening GRE)
    2011:11:17-20:33:16 mail pppd-pptp[27451]: Plugin radius.so loaded.
    2011:11:17-20:33:16 mail pppd-pptp[27451]: RADIUS plugin initialized.
    2011:11:17-20:33:16 mail pppd-pptp[27451]: Plugin radattr.so loaded.
    2011:11:17-20:33:16 mail pppd-pptp[27451]: RADATTR plugin initialized.
    2011:11:17-20:33:16 mail pppd-pptp[27451]: Plugin dhcpc.so loaded.
    2011:11:17-20:33:16 mail pppd-pptp[27451]: DHCPC: plugin initialized
    2011:11:17-20:33:16 mail pppd-pptp[27451]: pppd 2.4.5 started by (unknown), uid 0
    2011:11:17-20:33:16 mail pppd-pptp[27451]: Starting negotiation on /dev/ttyp0
    2011:11:17-20:33:16 mail pptpd[27448]: GRE: Bad checksum from pppd.
    2011:11:17-20:33:19 mail pptpd[27448]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
    2011:11:17-20:33:19 mail pppd-pptp[27451]: rc_map2id: can't find tty /dev/ in map database
    2011:11:17-20:33:19 mail pppd-pptp[27451]: rc_check_reply: received invalid reply digest from RADIUS server
    2011:11:17-20:33:19 mail pppd-pptp[27451]: Peer DOMAIN\givenname.sname failed CHAP authentication
    2011:11:17-20:33:19 mail pptpd[27448]: GRE: read(fd=6,buffer=805a540,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
    2011:11:17-20:33:19 mail pptpd[27448]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
    2011:11:17-20:33:19 mail pptpd[27448]: CTRL: Reaping child PPP[27451]
    2011:11:17-20:33:19 mail pptpd[27448]: CTRL: Client 79.204.***.*** control connection finished
    2011:11:17-20:33:19 mail pppd-pptp[27451]: Connection terminated.
    2011:11:17-20:33:19 mail pppd-pptp[27451]: Exit.



    Greetinx
    bofh

    EDIT: A stupid question: I created a backend authorization group on the Astaro. Will this be used in any way during the authentication process?
Reply
  • 0 in reply to BAlfson
    The Astaro log for L2TP:

    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008]
    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [RFC 3947]
    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [FRAGMENTATION]
    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]
    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [Vid-Initial-Contact]
    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: ignoring Vendor ID payload [IKE CGA version 1]
    2011:11:17-20:25:14 mail pluto[27642]: packet from 79.204.***.***:1: initial Main Mode message received on 209.251.***.***:500 but no connection has been authorized with policy=PSK 
    .

    For PPTP:

    2011:11:17-20:33:16 mail pptpd[27448]: CTRL: Client 79.204.***.*** control connection started
    2011:11:17-20:33:16 mail pptpd[27448]: CTRL: Starting call (launching pppd, opening GRE)
    2011:11:17-20:33:16 mail pppd-pptp[27451]: Plugin radius.so loaded.
    2011:11:17-20:33:16 mail pppd-pptp[27451]: RADIUS plugin initialized.
    2011:11:17-20:33:16 mail pppd-pptp[27451]: Plugin radattr.so loaded.
    2011:11:17-20:33:16 mail pppd-pptp[27451]: RADATTR plugin initialized.
    2011:11:17-20:33:16 mail pppd-pptp[27451]: Plugin dhcpc.so loaded.
    2011:11:17-20:33:16 mail pppd-pptp[27451]: DHCPC: plugin initialized
    2011:11:17-20:33:16 mail pppd-pptp[27451]: pppd 2.4.5 started by (unknown), uid 0
    2011:11:17-20:33:16 mail pppd-pptp[27451]: Starting negotiation on /dev/ttyp0
    2011:11:17-20:33:16 mail pptpd[27448]: GRE: Bad checksum from pppd.
    2011:11:17-20:33:19 mail pptpd[27448]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
    2011:11:17-20:33:19 mail pppd-pptp[27451]: rc_map2id: can't find tty /dev/ in map database
    2011:11:17-20:33:19 mail pppd-pptp[27451]: rc_check_reply: received invalid reply digest from RADIUS server
    2011:11:17-20:33:19 mail pppd-pptp[27451]: Peer DOMAIN\givenname.sname failed CHAP authentication
    2011:11:17-20:33:19 mail pptpd[27448]: GRE: read(fd=6,buffer=805a540,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
    2011:11:17-20:33:19 mail pptpd[27448]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
    2011:11:17-20:33:19 mail pptpd[27448]: CTRL: Reaping child PPP[27451]
    2011:11:17-20:33:19 mail pptpd[27448]: CTRL: Client 79.204.***.*** control connection finished
    2011:11:17-20:33:19 mail pppd-pptp[27451]: Connection terminated.
    2011:11:17-20:33:19 mail pppd-pptp[27451]: Exit.



    Greetinx
    bofh

    EDIT: A stupid question: I created a backend authorization group on the Astaro. Will this be used in any way during the authentication process?
Children
No Data