Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 30 replies
  • Subscribers 38 subscribers
  • Views 18164 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN/IPSEC Tunnel zur Astaro hinter Router

ibalint
Hi Leute,

ich hoffe Ihr könnt mir weiter helfen. Bin echt schon am verzweifeln.
Wir haben eine Astaro Security Gateway V7 und möchten Homeoffice Usern die Arbeit über einen VPN/IPSEC Tunnel ermöglichen.
Die Einwahl erfolgt über den NCP Secure Entry Client. Das ist der selbe Client wie von Astaro nur direkt vom Hersteller NCP.
Nun zum Problem:

Wenn Homeuser im Heimischen Netzwerk sich per Router in das WWW einwählen, geht es nicht.

PC -> Router -> WWW -> Astaro -> Firmennetz

Wenn ich jedoch im VPN Client die IP Adresse Manuell zuweise und die Offizielle Internet IP des Routers eingebe, geht es. Nur kann man nicht von jedem User verlangen, die Internet IP heraus zu finden und jedes mal in den VPN Client ein zu tragen.

Wie kann ich eine VPN/IPSEC Connection in der Astaro eintragen, bei der es egal ist, mit welcher IP der Client ankommt ?? Im remote Gateway von IPSEC habe ich bereits "Respond only" eingetragen. Auch ohne Erfolg.
Eingenartig ist auch, wenn ich mich per VPN/IPSEC einwähle, wird mir weder eine aktive Site2Site VPN noch ein remote Acces als Aktiv angezeigt.

Ich hoffe auf gute und konstruktive Antworten die mir weiter helfen könnten.


Grüße....


This thread was automatically locked due to age.
Parents
  • 0
    Vorab möchte ich mich entschuldigen, dass ich hier auf Englisch schreibe, aber mein Deutsch ist sehr eingerostet.

    Instead of trying to use the 'Site-to-Site >> IPSec VPN' section, define this in 'Remote Access >> L2TP over IPSec' or 'Remote Access >> IPSec'.  For more information about how to set this up, search in the Astaro KnowledgeBase for "road" as in "Road Warrior".

    Some home routers block VPN access.  Linksys routers, for example, enable VPN access by default, but some users may have changed that.

    If you use IPSec over L2TP, the standard Microsoft VPN client works well, and the instructions provided in the User Portal make it easy to set up.  For my customers, I create a customized end-user document from the client installation section, and include the actual URLs, etc that they need to use.  An additional advantage of the Windows client is the ease with which the end-user can select a split tunnel.

    If you have not installed the User Portal and you use LDAP or AD, email me, and I will send you a document that several people have used successfully.

    Grüß - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    thank you for Answer. Kindly excuse my bad English.
    We need to use a VPN/IPSEC Tunnel with Pre-shared Key and ESP. My Company has buy a lot of NCP IPSEC Secure Entry Clients. I have read the guide how to setup VPN for Roadwarriors and i have adjust these settings in Remote Access.
    It works with Clients with direct web connection (Modem, UMTS). Clients who are behind a router not works. Port Forwarding for IKE/IPSEC Ports are adjusted in router. Clients after a Router have IP Adresses 192.168.0.x-192.168.2.x. The internal Company Network has 192.168.4.x. I mean this is the Problem.  At a Client after the Router, i must configure the NCP IPSEC Client with the external web IP Adress. But not anyone of my colleagues can do this.
    I mean is´t a setup Problem in my Astaro IPSEC configuration. But i don´t know how can i do better.

    Danke noch mal an Bob für die Antwort. Diese Konfiguration ist bei uns leider nicht möglich.


    Grüße....
  • 0 in reply to ibalint
    Hallo ibalint,

    hast Du geprüft, ob die Router UDP 500 und UDP 4500 durchlassen?
  • 0 in reply to wk_03
    Hallo Walter,

    ja, hab ich geprüft. Hebe die Konfig bei mir Zuhause eingerichtet. Alle Ports (50, 500 und 4500) offen. Wie gesagt, wenn ich dem IPSEC Client die Internet IP mit gebe, gehts. Mit der Lokalen nicht. Denke das da der Hund begraben liegt. Vielleicht läßt die FW keine Private IP´s zu ??

    Grüße,
    Ilja
  • 0 in reply to ibalint
    Ilja, please show pictures of the 'Connections' and 'Advanced' tabs from 'Remote Access >> IPSec'.  I think your problem is in the client configuration or in the router as Walter suggests, but we should eliminate the Astaro setup as a potential cause of the problem.

    Gruß - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hast du schon mal nachgesehen, mit welcher Absende-IP der Client bei der Astaro ankommt, wenn du nicht die Internet-IP beim Client angibst ? Für mich hört das sich so an, als wenn der Router zu Hause kein NAT durchführen würde und die interne IP mitschickt, sofern du die nicht explizit im Client angibst.
  • 0 in reply to poero
    Hallo Ilja,

    nächster Gedanke.

    Hast Du für den Remote-Benutzer eine feste IP in der Astaro eingetragen?

    Irgendwo steht, dass für den Astaro Secure Client in Verbindung mit NAT eine feste IP in der Astaro vergeben sein muss.
    Diese IP muss dann auch in dem Client eingetragen sein.

    So habe ich es überall konfiguriert und es funktioniert.
  • 0 in reply to wk_03
    So, habe nun mal geschaut mit welcher IP mein Client ankommt, wenn ich hinter dem Router die Lokale IP für den IPSEC Client verwendet. Er kommt mit der Internet IP vom Router an. Also das sollte passen. Geht aber komischerweise so nicht.
    Die Einstellung für die feste IP habe ich nicht gefunden.
    Ich habe ein Screenshot von der Astaro Remote Einstellung.
    Leider habe ich aber noch nicht heraus gefunden, wie ich die Grafik Poste.

    Hier aber ein Auszug aus dem Log des IPSEC Client:

    04.11.2008 13:18:57    Authentication=PRE_SHARED_KEY,Encryption=AES,Hash=MD5,DHGroup=5,KeyLen=256
    04.11.2008 13:18:57  Ike - Kunde ->Support for NAT-T version - 9
    04.11.2008 13:18:57  Ike - XMIT_MSG3_MAIN - Kunde
    04.11.2008 13:18:57  Ike - RECV_MSG4_MAIN - Kunde
    04.11.2008 13:18:57  Ike - Turning on NATD mode - Kunde - 1
    04.11.2008 13:18:57  Ike - XMIT_MSG5_MAIN - Kunde
    04.11.2008 13:18:57  Ike - RECV_MSG6_MAIN - Kunde
    04.11.2008 13:18:57  Ike - IkeSa negotiated with the following properties -
    04.11.2008 13:18:57    Authentication=PRE_SHARED_KEY,Encryption=AES,Hash=MD5,DHGroup=5,KeyLen=256
    04.11.2008 13:18:57  Ike - Turning on DPD mode - Kunde
    04.11.2008 13:18:57  Ike - phase1:name(Kunde) - connected
    04.11.2008 13:18:57  SUCCESS: IKE phase 1 ready
    04.11.2008 13:18:57  Ipsec - Phase1 is Ready: IkeIndex = 0000000a
    04.11.2008 13:18:57  Ipsec - Quick Mode is Ready: IkeIndex = 0000000a , VpnSrcPort = 4500
    04.11.2008 13:18:57  Ipsec - Assigned IP Address: 192.168.0.102
    04.11.2008 13:18:57  IkeQuick - XMIT_MSG1_QUICK - Kunde
    04.11.2008 13:18:57  Ike - NOTIFY : Kunde : RECEIVED : INVALID_ID_INFORMATION : 18
    04.11.2008 13:19:02  Ike - NOTIFY : Kunde : RECEIVED : INVALID_MESSAGE_ID : 9
    04.11.2008 13:19:04  Ike - NOTIFY : Kunde : RECEIVED : INVALID_MESSAGE_ID : 9
    04.11.2008 13:19:07  Ike - NOTIFY : Kunde : RECEIVED : INVALID_MESSAGE_ID : 9
    04.11.2008 13:19:10  IkeQuick - phase2:name(Kunde) - error - retry timeout - max retries
    04.11.2008 13:19:10  Ipsec - Disconnected from Kunde on channel 1.

    Oben sieht man, daß er die Lokale IP mit gibt.
    Wenn ich die Internet IP vom Router angebe, gehts und sieh folgendermaßen aus:

    04.11.2008 13:25:30  Ike - RECV_MSG4_MAIN - Kunde
    04.11.2008 13:25:30  Ike - Turning on NATD mode - Kunde - 1
    04.11.2008 13:25:30  Ike - XMIT_MSG5_MAIN - Kunde
    04.11.2008 13:25:30  Ike - RECV_MSG6_MAIN - Kunde
    04.11.2008 13:25:30  Ike - IkeSa negotiated with the following properties -
    04.11.2008 13:25:30    Authentication=PRE_SHARED_KEY,Encryption=AES,Hash=MD5,DHGroup=5,KeyLen=256
    04.11.2008 13:25:30  Ike - Turning on DPD mode - Kunde
    04.11.2008 13:25:30  Ike - phase1:name(Kunde) - connected
    04.11.2008 13:25:30  SUCCESS: IKE phase 1 ready
    04.11.2008 13:25:30  Ipsec - Phase1 is Ready: IkeIndex = 0000000b
    04.11.2008 13:25:30  Ipsec - Quick Mode is Ready: IkeIndex = 0000000b , VpnSrcPort = 4500
    04.11.2008 13:25:30  Ipsec - Assigned IP Address: 88.217.36.244
    04.11.2008 13:25:30  IkeQuick - XMIT_MSG1_QUICK - Kunde
    04.11.2008 13:25:30  IkeQuick - RECV_MSG2_QUICK - Kunde
    04.11.2008 13:25:30  IkeQuick - Turning on PFS mode(Kunde) with group 5
    04.11.2008 13:25:30  IkeQuick - XMIT_MSG3_QUICK - Kunde
    04.11.2008 13:25:30  IkeQuick - phase2:name(Kunde) - connected
    04.11.2008 13:25:30  SUCCESS: Ike phase 2 (quick mode) ready
    04.11.2008 13:25:30  IpSec - Created an IPSEC SA with the following characteristics -
    04.11.2008 13:25:30    IpSrcRange[88.217.36.244-88.217.36.244] IpDstRange[192.168.4.0-192.168.4.255] IpProt=0 SrcPortRange[0-65535] DstPortRange[0-65535]
    04.11.2008 13:25:30  IpSec - connected: LifeDuration in Seconds = 23040 and in KiloBytes = 0
    04.11.2008 13:25:30  Ipsec - Connected to Kunde on channel 1.
    04.11.2008 13:25:30  PPP(Ipcp) - connected to Kunde with IP Address: 088.217.036.244. : 088.217.036.245.
    04.11.2008 13:25:30  SUCCESS: PPP(Ipcp) address assignment ready
    04.11.2008 13:25:30  SUCCESS: IpSec connection ready

    Man sieht weiter oben, daß er auch die IP mit gibt. Ich denke das die Astaro mit dieser Privaten IP ein Problem hat. Weiß aber nicht, wo man das einstellen kann.
    Ich gebe auch offen zu, das ich mit der ASG in´s kalte Wasser geshmissen wurde.

    Grüße,
    Ilja
  • 0 in reply to ibalint
    Hallo Ilja,

    die feste IP gibst Du bei den usern ein.
    Wenn Du bei Users/Users den User editierst, der das VPN benutzen soll, gibt es die Einstellung:
    Use static remote access IP. Hier gibst Du eine Adresse an.

    Die selbe Adresse musst Du auch im SecureClient eintragen.
  • 0 in reply to ibalint
    Hallo Walter,
     
    ich gebe für die Verbindung keinen User an. Wir verbinden uns per Pre-shared-key. Hier nun der Screenshot.
     
  • 0 in reply to ibalint
    Hallo Ilja,

    bei PresharedKey muss ich passen. Das habe ich noch nie verwendet, denn mit X509 geht es bei Astaro so gut und leicht und ich kann jedem User oder Usergruppe gezielt Rechte geben oder entziehen.
  • 0 in reply to wk_03
    Das mit x509 hatte ich versucht. Leider auch ohne erfolg. Er erstellt mir Zertifikate die bereits im April 2002 abgelaufen sind. Da weiß ich leider auch nicht, wie ich das hinbekomme. Wenn hierfür jemand einen Tipp hat, mache ich es gerne per Zertifikat.
     
    Grüße,
    Ilja
Reply
  • 0 in reply to wk_03
    Das mit x509 hatte ich versucht. Leider auch ohne erfolg. Er erstellt mir Zertifikate die bereits im April 2002 abgelaufen sind. Da weiß ich leider auch nicht, wie ich das hinbekomme. Wenn hierfür jemand einen Tipp hat, mache ich es gerne per Zertifikat.
     
    Grüße,
    Ilja
Children
  • 0 in reply to ibalint
    verwendest Du lokale User?
  • 0 in reply to wk_03
    Ich habe tatsächlich User eingetragen. Habe beim VPNAccess User jetzt mal meine Lokale IP eingetragen. leider kein erfolg. Beim Admin habe ich nichts geändert. Es ist beim Admin aber auch keine IP hinterlegt.
  • 0 in reply to wk_03
    Also es existiert ein User. Habe bei dem nun auch meine Lokale IP eingetragen. Ohne Erfolg. Am Admin habe ich nichts geändert.
     
  • 0 in reply to wk_03
    More information from the User Manual's 'Remote Access >> IPSec' section:
    With NAT traversal you are able to place the firewall or a road warrior behind a NAT router and still establish an IPSec tunnel. Both IPSec peers must support NAT traversal if you want to use this feature, which is automatically negotiated. Make sure that the NAT device has IPSec-passthrough turned off, because this could impair the use of NAT traversal. 

    If road warriors want to use NAT traversal, their corresponding user object in WebAdmin must have a static remote access IP adress (RAS address) set (see also Use Static Remote Access IP on the user definitions page in WebAdmin). 

    By default, a NAT traversal keep-alive signal is sent at intervals of 60 seconds to prevent an established tunnel from expiring when no data is transmitted. The keep-alive messages are sent to ensure that the NAT router keeps the state information associated with the session so that the tunnel stays open. 

    That would seem to indicate that you should turn off 'IPSec passthrough' on your router at home.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Als feste IP in der Firewall musst Du eine Adresse aus dem IPSec-Pool oder dem internen Netz verwenden. Nicht die lokale Adresse.

    Als Beispiel verwende ich immer 10.10.10.10
  • 0 in reply to wk_03
    Nein, leider kein Erfolg. Habe eine aus dem IPSEC Pool Netz genommen (10.242.4.5) und eine aus dem dortigen lokalen Netz. Gleiche Fehlermeldung. Auch die Konfig die Bob vorher meinte funktioniert nicht. 
    Ich weiß echt nicht mehr weiter.
    Ich würde ja gerne per X509 die Verbindung aufbauen. Nur weiß ich nicht, weshalb ich Zertifikate bekomme, die bereits April 2002 abgelaufen sind. 
     
    Gruß,
    Ilja
  • 0 in reply to ibalint
    Hallo Ilja,

    lege doch einmal einen neuen lokalen User an und schaue dann unter Remote Access / Certificate Management die Gültigkeit des neuen Users an.
    Bei mir (V7.304) entstehen dann Zertifikate, die bis 2036 gültig sind.

    Wenn dem so nicht ist, dann ist etwas oberfaul.

    Des weiteren habe ich noch einmal in den SecureClient geschaut. Unter Konfiguration/Profil-Einstellungen/IP-Adressen-Zuweisung empfiehlt es sich, den Punkt "IP-Adresse manuell vergeben" anzuklicken und dann die gleiche IP, wie in der ASG anzugeben.
  • 0 in reply to wk_03
    Geht leider nicht. Bekomme wieder ein Zertifikat mit Ablaufdatum April 2002.
    Folgende Fehlermeldung beim Client :
     
    RECEIVED : INVALID_KEY_INFORMATION : 17
     
    Wobei unsere Firmware Version 7.202 ist. Gibt es da bekannte bugs ??
     
     
    Grüße,
    Ilja
  • 0 in reply to ibalint
    So, hab das Ding jetzt auf 7.304 gebracht. Immer noch das selbe elend.
    Im VPN IPSEC Log der ASG habe ich folgenden Eintrag gefunden:
     
    2008:11:04-21:36:28 (none) pluto[3586]: "S_VPN Connect_0"[8] 93.135.52.156:62376 #125: cannot respond to IPsec SA request because no connection is known for 192.168.4.0/24===62.245.147.34:4500...93.135.52.156:62376[192.168.2.98]===62.245.147.34/32 
    2008:11:04-21:36:28 (none) pluto[3586]: "S_VPN Connect_0"[8] 93.135.52.156:62376 #125: sending encrypted notification INVALID_ID_INFORMATION to 93.135.52.156:62376 
    2008:11:04-21:36:28 (none) pluto[3586]: | state transition function for STATE_QUICK_R0 failed: INVALID_ID_INFORMATION 
    2008:11:04-21:36:28 (none) pluto[3586]: | next event EVENT_RETRANSMIT in 9 seconds for #124 
    2008:11:04-21:36:32 (none) pluto[3586]: | 

    Kann jemand was mit dem Fehler anfagen ??
     
    Grüße,
    Ilja
  • 0 in reply to ibalint
    Hallo Ilja,

    jetzt geht es für mich durcheinander.
    Wie hast Du den user angelegt, dass beim 'Client' eine Fehlermeldung kommt?

    Ich meinte anlegen über: Users/Users/New User

    Das dabei angelegte Zertifikat zeigt sich in Remote Access/Certificate Management.

    Kannst Du dieses Ergebnis hier posten?
Unfiltered HTML