Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 15890 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN clients need special gateway and internal IP

LoD
Hello @ all,

we have just moved from ISA Server 2006 to ASG (Full Guard) and now I discovered a major problem:

We are using an ERP application client which connects via telnet to the hoster's network. Within our company's intranet the ip address 192.168.143.1 (cisco; fully managed by the hoster) routes this telnet sessions. Only workstations from within a specified range (10-72) are allowed to transmit packets through the cisco.

In the past I had the following setup:
- internal DHCP-Server with classless routing configured (DHCP-Range: 10-99)
- DHCP-pool matches the specific allowed intranet-range
- reservations for ERP-using clients
- ISA-server uses this address pool
- vpn enabled users are in an security group
- each vpn enabled user had a static ip configured for dialing in

Now how can I configure our new astaro to fullfill the basic requirements for the application to work?

Any help is greatly appreciated.

Regards,
LoD


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to BAlfson
    Hi LoD,

    I can't really follow your tests and probs (your scenario is a bit confusing) but if you can't establish a l2tp vpn connection with a radius authenticated user using the win7 builtin vpn client - here is my hint: I couldt establish this l2tp connection only if I selected only PAP on the client side (with ASG local users chap etc. work also).

    Regards
    Manfred
  • 0 in reply to Hallowach2
    Hello hallowach,

    thanks for the hint. Tried it but unfortunately didn't work with 'only PAP'. Played with client and radius settings a bit, but nothing worked.

    @Bob:
    Thanks for the manual. I created a new VPN connection on my lappi and tried it again, leaving all server-side settings as they were. The best result was error 734 while registering the pc in the network (AFTER authenticating the user).

    A also reread the manual that can be downloaded directly from the support in webadmin. 

    It seems on Astaro side there are nearly no potentual configuration errors:
    1.  Create radius server
    2.  set radius auth on position 1
    3.  proof settings by entering an account using NAS-identifier "pptp"
    4.  on "remote access" change auth to radius. I use our internal DHCP server here (as this was the goal to be acheived)
    5. done on Astaro side. (Or am I missing something here?)

    A question: On advanced tab in pptp the encryption strengh can be set (128 / 40). Does this setting comply with the NPS - net pol setting "Encryption" ?

    If these settings are correct, the mistake must be somewhere on NPS-side, right? So I'd say I delete all settings, start over with a new made by the assistant and modify it for work with astaro (unspecified NAS-Type,  and so on).

    I'll be back - with the result of this.

    greetinx
    LoD


    Edit: I modified the NPS-settings by following THIS manual -> again no success.

    But: Another basic question: Why do I have to create a radius-authenticated group on Astaro? If there's no such group testing the connection says that there's no group. The VPN-connection posts the same errors as with the group. Maybe someone can tell what this astaro-local group is for.

    Thanks and greetinx again.