Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 17675 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

L2TP/IPSec VPN route pushing?

gilester
Hello,

I've got a 'road warrior' set up working into my ASG 8.300 using L2TP/IPSec. My VPN IP pool is 192.168.243.0/24, and my internal LAN is 172.16.1.0/24. I'm using the built-in Windows 7 VPN client.

When I connect, the client is assigned 192.168.243.2 with a gateway of 192.168.243.1. That's fine, I can ping the gateway (I've configured the necessary rule in the ASG firewall).

In order to get to my internal LAN, I need to add a route to the Win7 client PC as follows:

"route ADD 172.16.1.0 MASK 255.255.255.0 192.168.243.1"

Once I've done that my road-warrior client can access devices on the internal LAN. All well and good. When I disconnect the VPN client, however, the route to 172.16.1.0/24 is removed.

My question is whether there's a smart way to automate the addition of the manual route after I connect the VPN. I've seen mention of "route push" but only in relation to OpenVPN connections. As I'm doing L2TP/IPSec, I wonder if this isn't possible and I have to use some sort of script in the client.

Has anyone achieved this?

Thanks,
Giles.


This thread was automatically locked due to age.
  • 0
    If I remember correctly there is a seeting in the L2TP settings of the client that creates a default route to the asg when connecting. I don't think there is an option to push a single route for a specific network with L2TP. If I'm wrong please correct me :-).

    Regards
    Manfred
  • 0
    Giles, I think the Windows VPN client should, by default, create/delete that route.  I think you must have some issue in the Windows config.  Maybe a GPO?  Maybe some other local security setting?  I just can't remember hearing this problem before.

    Cheers - Bob
    PS Agreed with Manfred that there's no option to push anything other than the default - the LANs defined on Astaro interfaces.
  • 0
    Hi Bob,

    Ah, I didn't mention, I'm intentionally using split routing so only the traffic for the internal LAN goes via the VPN. That will be the problem; most people seem to use the VPN as their default route, so yeah, if I followed suit, the traffic for 172.16.1.0 would hit the Astaro without me needing to add the route.

    It's fine, I'm happy to accept I'm doing something a little strange and therefore need to deploy a custom script of some sort to set the route. I've found a couple of examples on other forums so will investigate that.

    Thanks for the insight,
    Giles.
  • 0
    The spilt tunnel in the Windows L2TP client should be configured by deselecting 'Use default gateway on the remote network'.  That way, you shouldn't need any manual routes in the PC.

    Or, did I misunderstand your explanation?

    Cheers - Bob
  • 0
    Yeah.. In my set up the 172.16.1.0/24 network is connected behind the Astaro. So I clear the "use the default gateway on the remote network" which means my client can access the Internet directly, and 192.168.243.0/24 directly - but knows nothing of 172.16.1.0/24 without the manual route.

    I guess I'm just making things a bit complicated but I do like it that way! [:)]

    Giles.
  • 0
    I see, you're exactly correct.  In fact, I do the same thing for a lab network behind a lab Astaro. [:)]

    Only with the SSL, Cisco and IPsec Remote Access methods is it possible to specify 'Local networks' to solve this issue with manual routing in the PC.

    Cheers - Bob