L2TP: Advertise Routes and Domains?

Hi, rcrcr, and welcome to the User BB!

The Astaro will advertize the subnets and IPs defined on its interfaces.

Is the complication that you have another router behind your Astaro with the 10.12.0.0/24 subnet NATing tthrough a 10.11.0.x IP?  Maybe a rudimentary diagram of your topology would help.

Cheers - Bob

Thanks, BAlfson.

In this scenario the internal subnet of the Astaro is 10.10.0.0/24.

VPN clients receive 10.10.0.x IPs.

The 10.11.0.0/24 and 10.12.0.0/24 subnets are on the other side of an IPSec site-tos-stie tunnel running between this Astaro and another distant Astaro.

I need the routes to those foreign subnets to be advertised to VPN clients.

Also, I need to advertise certain DNS search domains to these VPN clients as well.

Does this KnowledgeBase article solve the first problem? Howto - Allow Remote Access Users to Reach Another Site via a Site-to-Site Tunnel

Also, I need to advertise certain DNS search domains to these VPN clients as well.

I don't understand.  Could you please be more specific?

Cheers - Bob

Sure,

there are certain private domain names that need to be advertised to the clients upon connecting so that the clients know that (1) lookups for these domains should be directed to the VPN's DNS and not the client's WAN DNS, and that (2) these domains should be appended (in order) by the clients when as an implied domain when attempting to resolve DNS lookups from only a hostname.

(Sort of like DHCP Option 119.)

Under the above scenario,

if example1.private and example2.private had been advertised,

(1) the client would query its usual DNS to resolve "yahoo.com".

(2) the client would query the VPN DNS to resolve "host.example1.private".

(3) the client would query the VPN DNS to resolve "host2", which it would query as "host2.example1.private", and then as "host2.example2.private" if the first lookup failed.

Remote Access --> Advanced --> Domain Name  is where I would think this could be set, but did not work in my trial.

(3) is, indeed, the 'Domain name' in 'Remote Access >> Advanced', but only a single domain name is supported here.  It would likely require setting up a separate connection (or a VLAN) to you domain server to be able to do it, but you would then be able to do DHCP with option 119 toL2TP clients.  You just need to be sure that the assigned IPs are not in any subnet defined on an Astaro interface.

In the same place, you can specify two name servers.  If one of those is the Astaro DNS, then you can configure name resolution there.  Or, for specific domains, indicate specific, internal name servers in 'Request Routing'.

None of your ideas sound like real problems.  However, if I were your consultant, I'd want to know more about your network topology before considering that your current set of questions is correct.

Cheers - Bob
PS Did that link have what you needed to understand how the Astaro can advertize your routes correctly?

PS Did that link have what you needed to understand how the Astaro can advertize your routes correctly?

Thanks. Yes and no. The link references an SSL VPN, and I don't believe the same "Local Networks" setting is available in the L2TP VPN.

I did the article with SSL Remote Access to clarify the technique insofar as the site-to-site definition works.  You're right that, with PPTP and L2TP, you have to use route ADD -p locally on the clients, or use an external DHCP server (instead of "VPN Pool (??TP)") with those remote access methods.

Cheers - Bob
PS Having said that, if this is just a few servers in example2.private, then it might be easier to add some 'Static Entries' in Astaro DNS with IPs in "Internal (Network)" and then DNAT from there to each IP in example1.private.