VPN tunnel met Checkpoint VPN-1 SecureClient, RDP werkt niet

Hallo,

Ik ben redelijk aan het eind van mogelijke opties om mijn probleem met het opzetten van een RDP sessie via een VPN tunnel naar mijn werk omgeving op te lossen.

Ik heb een macbook pro met de Checkpoint VPN-1 SecureClient tool. Ik kan een succesvolle VPN verbinding maken. Als ik een RDP client opstart (MS, Cord) dan weigert de verbinding tot stand te komen.

Echter, in een virtuele machine van VMware Fusion en Virtualbox ism Windows XP op mijn macbook pro, kan ik met dezelfde VPN instellingen wel een RDP sessie opstarten.

Eigenaardig en zeer vervelend. Het is wat omslachtig om een VM op te moeten starten, tunnel te maken, RPD sessie opzetten, alleen maar om iets te controleren op werk.

ik heb het internet al redelijk afgestruind, met oa. dit als oplossing
http://discussions.apple.com/thread.jspa?threadID=1260269

Helaas, ik krijg het niet werkend.

Achtergrond info :

Ik verbind via een wifi ap met mijn KPN IBP, die mij een IP in de 192.168.1.X reeks uitdeelt.

Heeft er iemand ervaring met het opzetten van een VPN in Leopard en het maken van een RDP sessie?

kibber schreef op zondag 10 mei 2009 @ 16:11:
Ik heb zelf ook een tijdje gebuik gemaakt van Checkpoint en ik merkte dat het updaten naar de laatste versie van de client soms wonderen kan doen. Het is geen beste client.

Dank voor je reactie, al heb ik updaten natuurlijk al geprobeerd. Ik moet wel zeggen dat het 'lijkt' alsof checkpoint het prima doet. Ik kan een keurige verbinding maken en vanuit mijn VM ook een RDP sessie opstarten.

Ik heb het vermoeden dat de Mac niet goed met meerdere IP adressen om kan gaan? De VPN client wijst een ip toe, iets met 172.x.x.x, mijn Mac zelf krijgt een 192.168.1.X adres en ik moet een IP van 150.X.X.X benaderen.

Vreemde is dat via een bridge in een VM het prima werkt

Iemand hier ervaring mee?

stef-o schreef op maandag 11 mei 2009 @ 13:33:
wat gebeurt er als je zonder client een vpn opzet? dit is mogelijk via settings->network.

dit gebruik ik ook om via thuis op mijn mac een windows bak over te nemen op het werk en dat werkt prima!

Dat heb ik geprobeerd, maar ik heb het idee dat ik zonder die Checkpoint client niet kan connecteren. Het is een KPN product, wat specifiek verwijst naar deze Checkpoint client.

Piebas schreef op maandag 11 mei 2009 @ 18:28:
Welke netwerk-instelling gebruik je in fusion? Nat of bridge?
Als je bridge gebruikt kan het zijn de er een routerings probleem is tussen de vpn en je interne netwerk.
Weet jij welk ipadres de machine aan de andere kant van de vpn heeft?

Bridge, en inderdaad, ik ben ook langzaam zeker overtuigd aan het raken dat het een routerings probleem is. Zie hier en hier. Ze noemen het ook split tunneling. Nu zie ik dat bij systeemvoorkeuren -> netwerk -> nieuwe vpn verbinding aanmaken -> properties, er een vinkje staat, direct all trafic to this gateway (oid). Dit gaat alleen niet op voor mijn situatie, aangezien ik een losse client gebruik.

Als oplossing om de routering (default gateway?) aan te passen heb ik verschillende variaties van onderstaande commando's gebruikt:

Bron
sudo route delete default
sudo route add -net default <local_gateway> (ik neem aan mijn IBP router? of de WiFi router?)
sudo route add -net 192.168.100.0 <vpn_address> ( als ik in de status van de VPN-1 client kijk, zie ik 172.71.1.1 staan, of moet ik het adres van de VPN server hebben, die op de zaak staat?)

in mijn geval zou ik krijgen:

sudo route delete default
sudo route add -net default 192.168.1.254 (IBP modem adres)
sudo route add -net 192.168.1.254 172.71.1.1

Maar ook nu geen succes:-(

Kun je het IP-adres wel pingen? of een telnet opzetten met het ipadres?

Nope, kan niet pingen. Ik heb intussen mijn 'thuis' IP range aangepast naar 10.0.1.X. en daarna naar de range van mijn werk IP, maar ook zonder resultaat. De vraag is nu, wat doet Windows, wat Leopard niet doet

[ Voor 23% gewijzigd door M617573 op 12-05-2009 06:54 ]

Donnie Darko schreef op dinsdag 12 mei 2009 @ 09:01:
[...]


ik heb hetzelfde probleem als ik connect naar de vpn bij ons op de zaak.

ik lost het op door een

route add "reeks lokale subnet op de zaak"/24 en als gateway gebruik ik het VPN adres van onze zaak (dus niet het externe ip adres van de vpn connectie, maar degene welke in de vpn range valt er vanuit gaande dat je een aparte range voor vpn verbindingen hebt)

bijv:

route add 192.168.254.0 /24 10.66.6.1

of in jou geval

route add 192.168.1.0 /24 172.71.1.1

Hmm, kan je mij nog iets verder helpen?

Mijn situatie nu:

Mac ip : 10.0.1.103
WiFi router gateway : 10.0.1.1
KPN Modem router gateway: 192.168.1.254

VPN Client IP(in het status veld) : 172.17.1.1
VPN gateway (waarmee de client connect) IP :193.172.XXX.XXX
Machine die overgenomen moet worden via RDP : 148.200.XXX.XXX

Dus, zou ik moeten doen:
sudo route add 148.200.XXX.0/24 193.172.XXX.XXX ?

En, wanneer voer ik deze route in. Voor of na het connecten van de VPN client?

[ Voor 7% gewijzigd door M617573 op 12-05-2009 18:44 ]

Donnie Darko schreef op woensdag 13 mei 2009 @ 08:28:
[...]


route add 148.200.xxx.0 /24 172.17.1.1

je doet dit uiteraard na het connecten met de vpn client.

Ok, ik ga het zo proberen! Ben benieuwd, deze combo heb ik nog niet geprobeerd : -) Bedankt voor je hulp tot nu toe!

Update:
Helaas, ook dit is de oplossing niet Man, man wat irritant zeg.

[ Voor 10% gewijzigd door M617573 op 13-05-2009 09:30 ]

Donnie Darko schreef op woensdag 13 mei 2009 @ 14:26:
[...]
wat laat hij zien met een traceroute 148.200.XXX.XXX ? (nadat je vpn hebt gemaakt)
en weet je zeker dat dit niet het publieke ip adres van de server is?

Als ik zo thuis ben draai ik die traceroute even. En ja, het 148.200.xxx.xxx IP is het vaste IP van mijn werkmachine die ik wil overnemen met RDP.

Het publieke IP van de VPN server =193.172.XXX.XXX

aZuL2001 schreef op woensdag 13 mei 2009 @ 14:41:
Je zult eerst de vpn tunnel goed moeten opzetten, (dat lijkt te lukken) en dan pas testen of je er verkeer doorheen krijgt.

Dus met ping en tracert zou je een heel eind moeten kunnen komen....
Krijg je er geen verkeer doorheen dan heeft RDP sessie starten helemaal geen zin.

Vergelijk je ip settings ook even van zowel je VMware XP sessie, als van je MacOS sessie.

Zien ze op kantoor de tunnel wel ? Bouw je een tunnel op naar je werkstation, of naar het kantoor netwerk ?

Eens. Ik bouw een tunnel op naar de VPN server, die mij vervolgend toegang geeft door de firewall. Als ik mijn VM opstart, en dan de tunnel opzet krijg ik de volgende gegevens:


Ik kan gewoon pingen etc.

Als ik een tracert doe in Leopard met de tunnel actief krijg ik geen reactie. Tracert in de VM laat keurig de VPN server zien en vervolgens mijn werkstation.

De Checkpoint client heb ik nodig, omdat die een automatisch een certificaat naar binnen haalt. Met de apple software krijg ik dat niet voor elkaar.

Er wordt nu 2x "ge-nat" volgensmij, dat lijkt mij ook niet echt wenselijk.(10.0.1.x en 192.168.1.x)
Doe is een trace vanaf windows en bekijk dat eens om te bekijken of je daar iets ziet...?

Ik heb inmiddels mijn laptop via de WiFi weer rechtstreeks op mijn KPN IBP AP aangesloten. Ik krijg nu rechtstreeks van het modem een ip in de 192.168.1.XXX range.

edit:

een netstat -rn geeft de volgende routing tabel op mijn mac, na het toevoegen van de route van Donnie Darko:

Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.1.254 UGSc 27 442 en1
127 127.0.0.1 UCS 0 0 lo0
127.0.0.1 127.0.0.1 UH 2 348 lo0
148.200.2.1 172.17.1.2 UGHS 0 0 en7
148.200.4.1 172.17.1.2 UGHS 0 0 en7
148.200.4.3 172.17.1.2 UGHS 0 0 en7
148.200.4.16/28 172.17.1.2 UGSc 0 0 en7
148.200.5/24 172.17.1.2 UGSc 0 0 en7
148.200.18/26 172.17.1.2 UGSc 1 0 en7
148.200.18/24 172.17.1.1 UGSc 0 0 en7
148.200.32/20 172.17.1.2 UGSc 0 0 en7
148.200.70.12 172.17.1.2 UGHS 0 0 en7
148.200.84.51 172.17.1.2 UGHS 0 0 en7
148.200.84.52/31 172.17.1.2 UGSc 0 0 en7
148.200.84.54 172.17.1.2 UGHS 0 0 en7
148.200.96.128/27 172.17.1.2 UGSc 0 0 en7
148.200.96.192/28 172.17.1.2 UGSc 0 0 en7
148.200.98.192/28 172.17.1.2 UGSc 0 0 en7
148.200.140.131 172.17.1.2 UGHS 0 0 en7
148.200.140.141 172.17.1.2 UGHS 0 0 en7
148.200.142.31 172.17.1.2 UGHS 0 0 en7
148.200.142.46 172.17.1.2 UGHS 0 0 en7
169.254 link#5 UCS 0 0 en1
172.17.1/24 link#8 UCS 2 0 en7
172.17.1.1 127.0.0.1 UHS 1 0 lo0
172.17.1.2 0:14:7f:b4:1a:c UHLW 21 0 en7 57
172.17.1.255 ff:ff:ff:ff:ff:ff UHLWb 0 6 en7
192.168.0 172.17.1.2 UGSc 0 0 en7
192.168.1 link#5 UCS 4 0 en1
192.168.1.50 0:1e:b:89:90:2f UHLW 0 0 en1 58
192.168.1.90 127.0.0.1 UHS 0 0 lo0
192.168.1.254 0:14:7f:b4:1a:c UHLW 27 136 en1 1197
192.168.1.255 ff:ff:ff:ff:ff:ff UHLWb 0 6 en1
192.168.111 link#9 UC 1 0 vmnet8
192.168.111.255 ff:ff:ff:ff:ff:ff UHLWb 0 6 vmnet8
192.168.184 link#10 UC 1 0 vmnet1
192.168.184.255 ff:ff:ff:ff:ff:ff UHLWb 0 6 vmnet1
193.172.169.134 172.17.1.2 UGHS 1 177 en7

Internet6:
Destination Gateway Flags Netif Expire
::1 link#1 UHL lo0
fe80::%lo0/64 fe80::1%lo0 Uc lo0
fe80::1%lo0 link#1 UHL lo0
fe80::%en1/64 link#5 UC en1
fe80::223:6cff:fe8d:98cd%en1 0:23:6c:8d:98:cd UHL lo0
ff01::/32 ::1 U lo0
ff02::/32 fe80::1%lo0 UC lo0
ff02::/32 link#5 UC en1
MC-MAC-01:~ Maurice$

[ Voor 72% gewijzigd door M617573 op 13-05-2009 21:42 ]

Donnie Darko schreef op woensdag 13 mei 2009 @ 22:01:
[...]


kan je nu wel verbinding maken dan ? opzich ziet het er goed uit zo.

nop. kan niet pingen, traceroute of iets. En vanuit mijn VM, die nu aan staat kan ik prima pingen etc.

Donnie Darko schreef op woensdag 13 mei 2009 @ 22:01:
[...]


kan je nu wel verbinding maken dan ? opzich ziet het er goed uit zo.

heb je een route add 148.200.xxx.xxx /24 172.17.1.1 of een
route add 148.200.xxx.xxx /24 172.17.1.2 gedaan?

aangezien ik die 172.17.1.1 zie terugkomen in je route lijstje ga ik ervan uit dat dat het vpn ip adres van de vpn server op je werk is. dit is uiteindelijk degene waar je het verkeer naar 148.200.xxx.xxx wilt heen sturen.

Ik heb een route add 172.17.1.1 gedaan. Maar, tot mijn verbazing zie ik een 172.17.1.2 nummer verschijnen. Mijn Windows machine krijgt dat .2 adres als IP, maar het status scherm in Mac os geeft een .1 adres aan. Overigens, .1 en .2 werken beide niet met add route.