IPSec VPN = IP 192.168.254.x ??

Welchen Client verwendest du  - den Astaro Secure CLient oder irgendeinen anderen IPSec Client?
Deine AUssage ist ein bisschen missverständlich: 
>> die Verbindung an sich klappt einwandfrei, ich stehe nur vor dem Problem [...] wodurch auch keine Verbindung geht.
 
Also was jetzt genau?
Der Tunnel steht (der User wird auch als Online RAS USer angezeigt) ?
 
Wo genau siehst du, dass dein CLient eine 192.168.254er Adresse zugeweisen bekommt? in Ipconfig/all oder wo?
Welches CLient-Betriebssystem nutzt du?
Screenshoots der Konfig des CLients sowie der ASG wären auch nicht sooo schlecht.

Hi,

entschuldige, ja also der Tunnelaufbau funktioniert. 
Ich nutze den Astaro Secure Client und die IP Adresse sehe ich im ipconfig.
Windows XP läuft auf dem Client...
im Log wird angezeigt das sich der User erfolgreich authentifiziert hat...und bei Online User wird er ebenfalls angezeigt

fehlen nur noch die Screenshoots.
Bitte nicht einfach nur sagen "ich sehe die IP"  oder im log steht" sondern alles an Infos, was du selbst zusammenträgst, einfach hier reinposten, damit WIR das auch sehen, was DU siehst.
 
hast du dem User eine "static remote IP adress" zugewiesen (naemlich die 192.168.254.x ) ?
hast du lokale User oder Backend.-User (LDAP, ADS, eDir-Authentifizierung) ?
benutzt du PSK oder Zertifikate?  
benutzt du XAUTH authentifizierung? 
 
poste einfach die Screenshoots von:
ASC-sämtliche Profil-Konfigmenus
ASG- Ipsec connections EInstellungen
ASG - userdefinition für den User, mit dem du dich einloggst
Client: ipconfig/all, route print

So hier mal die Screenshots vom Client ASC..habe nur name und domainname mit ***x gemacht als Info.

was mir auffällt ist bei IP-Sec-Adresszuweisung das dort lokale ip-adresse steht. aber erbekommt ja trotzdem die 192.168.254.x zugewiesen...

nun von der ASG und ipconfig..

ein paar sachen musste ich ausblenden...

Weise dem User in der ASG eine "statische Fernzugriffs-IP" zu und trage diese auch statisch in den ASC ein (stelle dazu von "Lokale Adresse" auf "IP-Adresse manuell vergeben" um), dann hast du am wenigsten Probleme, auch wenn du dann an zwei Stellen manuelle Einträge machen musst, was bei vielen Nutzern etwas lästig werden könnte.
Theoretisch sollte es - da du Zertifikate verwendest - auch mit dem "IKE Config mode" im ASC funktionieren, zumidnest dann, wenn deine ASG nicht hinter einem NAT Device steht. Dann kannst du dir zumindest den statischen IP-Adress-Eintrag auf dem ASC-Client sparen. Aber zuerst würde ich mal mit dem statischen EIntrag auf BEIDEN seiten anfangen, wenn das geht, kannst du immer noch den IKE COnfig mode ausprobieren.

Hallo,

habe ich mal gemacht habe beim statische Remote IP im ASG die 10.242.4.5 (vorgegebener Pool im ASG) gegeben und die auch im ACS eingetragen.

Nun bekommt der Client wie ja wie eingetragen die 10.242.4.5 aber als Gateway wieder einfach eine nummer höher 10.242.2.6...

klappt leider genauso wenig..Tunnel steht aber das wars auch

was mich halt auch mit der 192.168.254.x wunder ist,dieses Netz ist nirgendes defeniert weder im ASG noch ASC oder auf dem Client.

wie sieht nun, nachdem du verbunden bist (der Tunnel steht), der output von "ipconfig/all" und von "route print" auf dem Client aus ?

was genau machst du um zu prüfen, ob etwas durch den Tunnel durchgeht  - ein Ping irgendwo hin (wohin?) ?

was zeigt dein Ipsec.log an beim Verbindungsaufbau?

kannst du mal, nachdem du den Client connected hast, und dann einen Ping vom Client zu einem Rechner in deinem "internal Network" machst, schauen, was der output von "tcpdump -np -i ipsec0"  ergibt? (ich hoffe, dass du nur ein ipsec Interface hast)

im anhang mal log vom ASC..

ich teste die verbindung in dem ich z.b meinen dns server anpingen möchte der im internal network steht...

welche ipsec.log meinst?
tcpdump?auf der ASG?

das ipsec log auf der ASG ("open live log") und den tcpdump ebenfalls auf der ASG (als root)