Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 1 subscriber
  • Views 15895 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN clients need special gateway and internal IP

LoD
Hello @ all,

we have just moved from ISA Server 2006 to ASG (Full Guard) and now I discovered a major problem:

We are using an ERP application client which connects via telnet to the hoster's network. Within our company's intranet the ip address 192.168.143.1 (cisco; fully managed by the hoster) routes this telnet sessions. Only workstations from within a specified range (10-72) are allowed to transmit packets through the cisco.

In the past I had the following setup:
- internal DHCP-Server with classless routing configured (DHCP-Range: 10-99)
- DHCP-pool matches the specific allowed intranet-range
- reservations for ERP-using clients
- ISA-server uses this address pool
- vpn enabled users are in an security group
- each vpn enabled user had a static ip configured for dialing in

Now how can I configure our new astaro to fullfill the basic requirements for the application to work?

Any help is greatly appreciated.

Regards,
LoD


This thread was automatically locked due to age.
Parents
  • 0
    Here's what works for me:


    Cheers - Bob
  • 0 in reply to BAlfson
    Sorry for the delayed reply.

    I worked on this a couple of hours double-checking my settings. They are the same as you posted, Bob.

    I'll leave the network as is (ISA 2006 for authenticating VPN-Users) for some time. It would have been nice to have this working before holidays but it can stay for 3 weeks or 4 I guess.

    Thanks for the great support here. Especially to Bob!

    I get here soon (I know it won't let me relax to know there's an unsolved problem so I'll be trying and posting results very soon I guess ^^).


    greetinx
    LoD
  • 0 in reply to LoD
    Re (with some test results):


    I left the port forwarding and switched ISA to radius authentication. After one error message (812) I added CHAP authentication as there was only ChapV2 enabled on client side. On NPS I used the default "Connection to MS Routing & RAS". Result: VPN could be enabled.

    I thought it would help and copied the working policies, added pptp nas identifier and ....got 691 again [:S]. Note that the user/password are saved on the laptop. They must be ok. THIS is a good list of vpn/radius errors - and solutions. Under 691 it only advises to check the authentication. As written in the astaro document MS-ChapV2 is supported. So I disabled everything else on both sides and tried again -> again 691.

    Might there be another problem? It's a Win7 Pro edition. Maybe there were some issues concerning VPN / radius? Did anyone here about some?

    regards,
    lod
Reply
  • 0 in reply to LoD
    Re (with some test results):


    I left the port forwarding and switched ISA to radius authentication. After one error message (812) I added CHAP authentication as there was only ChapV2 enabled on client side. On NPS I used the default "Connection to MS Routing & RAS". Result: VPN could be enabled.

    I thought it would help and copied the working policies, added pptp nas identifier and ....got 691 again [:S]. Note that the user/password are saved on the laptop. They must be ok. THIS is a good list of vpn/radius errors - and solutions. Under 691 it only advises to check the authentication. As written in the astaro document MS-ChapV2 is supported. So I disabled everything else on both sides and tried again -> again 691.

    Might there be another problem? It's a Win7 Pro edition. Maybe there were some issues concerning VPN / radius? Did anyone here about some?

    regards,
    lod
Children
  • 0 in reply to LoD
    Hi @ all,

    just wanted to inform all that the problem has been solved:
    In cooperation with the astaro support we detected that the problem was the lenght of the key entered on radius side.

    The shared secret cannot be more than 48 characters long (I had 76 or something like that. Small cause large effect ;-)

    As T.H. from support told me, this possible source of frustration (as in my case) will be closed by a future update.


    Thnx to all, special thanks to T.H. for great support,

    LoD

    Edit says: Just to answer the topic I had to add a standard static route for the special remote network. This one's defined with the special gateway in our lan.