Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2631 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Static RAS-Adress for VPN Users

Spoony
Hi everybody,

maybe someone can help me with this problem:

I want to have a static RAS adress per VPN-User; i have made the configuration for that adress inside the user configuration of the astaro "Static RAS Adress"

User_1 should always have 10.242.6.10

Pool-Network for VPN-Client:
10.242.6.0/24

When i go to "Cisco VPN-Client" and configure the user for VPN-Access, the following error message is shown:

German:
Es gibt keine Benutzer mit Fernzugriff über den Cisco-VPN-Client. Die statische IP '10.242.6.10' von Benutzer 'x' liegt innerhalb des IP-Pools.

English:
There are no users with remote access over Cisco-VPN-Client. The static IP 10.242.6.10 of User x is within the range of the IP-Pool 

The error message itself is seems logical to me [:)] But what can i do, if i want to use the pool AND the static IP-Adress?

Thanks in advance!

Lars


This thread was automatically locked due to age.
  • 0
    Hi, Lars,

    Think of this like DHCP; if you have static mappings, you should do them outside the dynamic range.  A static remote access IP should be assigned from a range otherwise unknown to the ASG.  Since this address will be valid for PPTP, L2TP/IPsec and the Cisco client, there's also no reason to have the IP be in any of those VPN Pools.

    Just curious, what is driving the need to have fixed IPs?

    Cheers - Bob
  • 0
    You have to choose an IP adress outside of the predefined IP pools for your static users.
  • 0
    Hi and thank you for your reply!

    I need Static IP-Adresses for a better identifying of external users, this is our security policy!

    It seems very logical to me to configure an IP-Adress outside the range of the pool [:)]

    But STATIC IP Adresses from within the pool work when using IP-Sec.
    The error is when using Cisco VPN only!

    Or

    What can i do when i don`t want to use IP-Adress Pools for the VPN?

    Thanks

    Lars
  • 0
    I need Static IP-Adresses for a better identifying of external users, this is our security policy!

    All Remote Access sessions are reported by username, so this would be to identify the user in the logs on your internal servers.  That makes sense.

    But STATIC IP Adresses from within the pool work when using IP-Sec.
     The error is when using Cisco VPN only!

    If, with IPsec, you use an IP out of "VPN Pool (Cisco)", you will have no problem.  If, with Cisco, you use an IP out of "VPN Pool (IPsec)", you will have no problem with Cisco.

    What can i do when i don`t want to use IP-Adress Pools for the VPN?

    Why not use IP-address pools for the VPN?

    Cheers - Bob
  • 0
    Thanks for your reply Bob,

    i have found out, that there are some issues when using static IP-Adresses outside the range!

    But more strange is the fact, that static IP-Adresses INSIDE the pool are allowed, but others not!

    For Example: 192.168.10.1-20 is allowed an beeing issued as static IP`s (User-Config) by the VPN, 192.168.10.21 NOT (User-Config)

    DHCP-Range of the pool is: 192.168.10.1-50

    Thanks
    Lars