Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 30 replies
  • Subscribers 38 subscribers
  • Views 18161 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN/IPSEC Tunnel zur Astaro hinter Router

ibalint
Hi Leute,

ich hoffe Ihr könnt mir weiter helfen. Bin echt schon am verzweifeln.
Wir haben eine Astaro Security Gateway V7 und möchten Homeoffice Usern die Arbeit über einen VPN/IPSEC Tunnel ermöglichen.
Die Einwahl erfolgt über den NCP Secure Entry Client. Das ist der selbe Client wie von Astaro nur direkt vom Hersteller NCP.
Nun zum Problem:

Wenn Homeuser im Heimischen Netzwerk sich per Router in das WWW einwählen, geht es nicht.

PC -> Router -> WWW -> Astaro -> Firmennetz

Wenn ich jedoch im VPN Client die IP Adresse Manuell zuweise und die Offizielle Internet IP des Routers eingebe, geht es. Nur kann man nicht von jedem User verlangen, die Internet IP heraus zu finden und jedes mal in den VPN Client ein zu tragen.

Wie kann ich eine VPN/IPSEC Connection in der Astaro eintragen, bei der es egal ist, mit welcher IP der Client ankommt ?? Im remote Gateway von IPSEC habe ich bereits "Respond only" eingetragen. Auch ohne Erfolg.
Eingenartig ist auch, wenn ich mich per VPN/IPSEC einwähle, wird mir weder eine aktive Site2Site VPN noch ein remote Acces als Aktiv angezeigt.

Ich hoffe auf gute und konstruktive Antworten die mir weiter helfen könnten.


Grüße....


This thread was automatically locked due to age.
Parents
  • 0
    Vorab möchte ich mich entschuldigen, dass ich hier auf Englisch schreibe, aber mein Deutsch ist sehr eingerostet.

    Instead of trying to use the 'Site-to-Site >> IPSec VPN' section, define this in 'Remote Access >> L2TP over IPSec' or 'Remote Access >> IPSec'.  For more information about how to set this up, search in the Astaro KnowledgeBase for "road" as in "Road Warrior".

    Some home routers block VPN access.  Linksys routers, for example, enable VPN access by default, but some users may have changed that.

    If you use IPSec over L2TP, the standard Microsoft VPN client works well, and the instructions provided in the User Portal make it easy to set up.  For my customers, I create a customized end-user document from the client installation section, and include the actual URLs, etc that they need to use.  An additional advantage of the Windows client is the ease with which the end-user can select a split tunnel.

    If you have not installed the User Portal and you use LDAP or AD, email me, and I will send you a document that several people have used successfully.

    Grüß - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    thank you for Answer. Kindly excuse my bad English.
    We need to use a VPN/IPSEC Tunnel with Pre-shared Key and ESP. My Company has buy a lot of NCP IPSEC Secure Entry Clients. I have read the guide how to setup VPN for Roadwarriors and i have adjust these settings in Remote Access.
    It works with Clients with direct web connection (Modem, UMTS). Clients who are behind a router not works. Port Forwarding for IKE/IPSEC Ports are adjusted in router. Clients after a Router have IP Adresses 192.168.0.x-192.168.2.x. The internal Company Network has 192.168.4.x. I mean this is the Problem.  At a Client after the Router, i must configure the NCP IPSEC Client with the external web IP Adress. But not anyone of my colleagues can do this.
    I mean is´t a setup Problem in my Astaro IPSEC configuration. But i don´t know how can i do better.

    Danke noch mal an Bob für die Antwort. Diese Konfiguration ist bei uns leider nicht möglich.


    Grüße....
  • 0 in reply to wk_03
    Hallo Walter,

    ja, hab ich geprüft. Hebe die Konfig bei mir Zuhause eingerichtet. Alle Ports (50, 500 und 4500) offen. Wie gesagt, wenn ich dem IPSEC Client die Internet IP mit gebe, gehts. Mit der Lokalen nicht. Denke das da der Hund begraben liegt. Vielleicht läßt die FW keine Private IP´s zu ??

    Grüße,
    Ilja
  • 0 in reply to ibalint
    Ilja, please show pictures of the 'Connections' and 'Advanced' tabs from 'Remote Access >> IPSec'.  I think your problem is in the client configuration or in the router as Walter suggests, but we should eliminate the Astaro setup as a potential cause of the problem.

    Gruß - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hast du schon mal nachgesehen, mit welcher Absende-IP der Client bei der Astaro ankommt, wenn du nicht die Internet-IP beim Client angibst ? Für mich hört das sich so an, als wenn der Router zu Hause kein NAT durchführen würde und die interne IP mitschickt, sofern du die nicht explizit im Client angibst.
  • 0 in reply to poero
    Hallo Ilja,

    nächster Gedanke.

    Hast Du für den Remote-Benutzer eine feste IP in der Astaro eingetragen?

    Irgendwo steht, dass für den Astaro Secure Client in Verbindung mit NAT eine feste IP in der Astaro vergeben sein muss.
    Diese IP muss dann auch in dem Client eingetragen sein.

    So habe ich es überall konfiguriert und es funktioniert.
  • 0 in reply to wk_03
    So, habe nun mal geschaut mit welcher IP mein Client ankommt, wenn ich hinter dem Router die Lokale IP für den IPSEC Client verwendet. Er kommt mit der Internet IP vom Router an. Also das sollte passen. Geht aber komischerweise so nicht.
    Die Einstellung für die feste IP habe ich nicht gefunden.
    Ich habe ein Screenshot von der Astaro Remote Einstellung.
    Leider habe ich aber noch nicht heraus gefunden, wie ich die Grafik Poste.

    Hier aber ein Auszug aus dem Log des IPSEC Client:

    04.11.2008 13:18:57    Authentication=PRE_SHARED_KEY,Encryption=AES,Hash=MD5,DHGroup=5,KeyLen=256
    04.11.2008 13:18:57  Ike - Kunde ->Support for NAT-T version - 9
    04.11.2008 13:18:57  Ike - XMIT_MSG3_MAIN - Kunde
    04.11.2008 13:18:57  Ike - RECV_MSG4_MAIN - Kunde
    04.11.2008 13:18:57  Ike - Turning on NATD mode - Kunde - 1
    04.11.2008 13:18:57  Ike - XMIT_MSG5_MAIN - Kunde
    04.11.2008 13:18:57  Ike - RECV_MSG6_MAIN - Kunde
    04.11.2008 13:18:57  Ike - IkeSa negotiated with the following properties -
    04.11.2008 13:18:57    Authentication=PRE_SHARED_KEY,Encryption=AES,Hash=MD5,DHGroup=5,KeyLen=256
    04.11.2008 13:18:57  Ike - Turning on DPD mode - Kunde
    04.11.2008 13:18:57  Ike - phase1:name(Kunde) - connected
    04.11.2008 13:18:57  SUCCESS: IKE phase 1 ready
    04.11.2008 13:18:57  Ipsec - Phase1 is Ready: IkeIndex = 0000000a
    04.11.2008 13:18:57  Ipsec - Quick Mode is Ready: IkeIndex = 0000000a , VpnSrcPort = 4500
    04.11.2008 13:18:57  Ipsec - Assigned IP Address: 192.168.0.102
    04.11.2008 13:18:57  IkeQuick - XMIT_MSG1_QUICK - Kunde
    04.11.2008 13:18:57  Ike - NOTIFY : Kunde : RECEIVED : INVALID_ID_INFORMATION : 18
    04.11.2008 13:19:02  Ike - NOTIFY : Kunde : RECEIVED : INVALID_MESSAGE_ID : 9
    04.11.2008 13:19:04  Ike - NOTIFY : Kunde : RECEIVED : INVALID_MESSAGE_ID : 9
    04.11.2008 13:19:07  Ike - NOTIFY : Kunde : RECEIVED : INVALID_MESSAGE_ID : 9
    04.11.2008 13:19:10  IkeQuick - phase2:name(Kunde) - error - retry timeout - max retries
    04.11.2008 13:19:10  Ipsec - Disconnected from Kunde on channel 1.

    Oben sieht man, daß er die Lokale IP mit gibt.
    Wenn ich die Internet IP vom Router angebe, gehts und sieh folgendermaßen aus:

    04.11.2008 13:25:30  Ike - RECV_MSG4_MAIN - Kunde
    04.11.2008 13:25:30  Ike - Turning on NATD mode - Kunde - 1
    04.11.2008 13:25:30  Ike - XMIT_MSG5_MAIN - Kunde
    04.11.2008 13:25:30  Ike - RECV_MSG6_MAIN - Kunde
    04.11.2008 13:25:30  Ike - IkeSa negotiated with the following properties -
    04.11.2008 13:25:30    Authentication=PRE_SHARED_KEY,Encryption=AES,Hash=MD5,DHGroup=5,KeyLen=256
    04.11.2008 13:25:30  Ike - Turning on DPD mode - Kunde
    04.11.2008 13:25:30  Ike - phase1:name(Kunde) - connected
    04.11.2008 13:25:30  SUCCESS: IKE phase 1 ready
    04.11.2008 13:25:30  Ipsec - Phase1 is Ready: IkeIndex = 0000000b
    04.11.2008 13:25:30  Ipsec - Quick Mode is Ready: IkeIndex = 0000000b , VpnSrcPort = 4500
    04.11.2008 13:25:30  Ipsec - Assigned IP Address: 88.217.36.244
    04.11.2008 13:25:30  IkeQuick - XMIT_MSG1_QUICK - Kunde
    04.11.2008 13:25:30  IkeQuick - RECV_MSG2_QUICK - Kunde
    04.11.2008 13:25:30  IkeQuick - Turning on PFS mode(Kunde) with group 5
    04.11.2008 13:25:30  IkeQuick - XMIT_MSG3_QUICK - Kunde
    04.11.2008 13:25:30  IkeQuick - phase2:name(Kunde) - connected
    04.11.2008 13:25:30  SUCCESS: Ike phase 2 (quick mode) ready
    04.11.2008 13:25:30  IpSec - Created an IPSEC SA with the following characteristics -
    04.11.2008 13:25:30    IpSrcRange[88.217.36.244-88.217.36.244] IpDstRange[192.168.4.0-192.168.4.255] IpProt=0 SrcPortRange[0-65535] DstPortRange[0-65535]
    04.11.2008 13:25:30  IpSec - connected: LifeDuration in Seconds = 23040 and in KiloBytes = 0
    04.11.2008 13:25:30  Ipsec - Connected to Kunde on channel 1.
    04.11.2008 13:25:30  PPP(Ipcp) - connected to Kunde with IP Address: 088.217.036.244. : 088.217.036.245.
    04.11.2008 13:25:30  SUCCESS: PPP(Ipcp) address assignment ready
    04.11.2008 13:25:30  SUCCESS: IpSec connection ready

    Man sieht weiter oben, daß er auch die IP mit gibt. Ich denke das die Astaro mit dieser Privaten IP ein Problem hat. Weiß aber nicht, wo man das einstellen kann.
    Ich gebe auch offen zu, das ich mit der ASG in´s kalte Wasser geshmissen wurde.

    Grüße,
    Ilja
  • 0 in reply to ibalint
    Hallo Ilja,

    die feste IP gibst Du bei den usern ein.
    Wenn Du bei Users/Users den User editierst, der das VPN benutzen soll, gibt es die Einstellung:
    Use static remote access IP. Hier gibst Du eine Adresse an.

    Die selbe Adresse musst Du auch im SecureClient eintragen.
  • 0 in reply to ibalint
    Hallo Walter,
     
    ich gebe für die Verbindung keinen User an. Wir verbinden uns per Pre-shared-key. Hier nun der Screenshot.
     
  • 0 in reply to ibalint
    Hallo Ilja,

    bei PresharedKey muss ich passen. Das habe ich noch nie verwendet, denn mit X509 geht es bei Astaro so gut und leicht und ich kann jedem User oder Usergruppe gezielt Rechte geben oder entziehen.
  • 0 in reply to wk_03
    Das mit x509 hatte ich versucht. Leider auch ohne erfolg. Er erstellt mir Zertifikate die bereits im April 2002 abgelaufen sind. Da weiß ich leider auch nicht, wie ich das hinbekomme. Wenn hierfür jemand einen Tipp hat, mache ich es gerne per Zertifikat.
     
    Grüße,
    Ilja
  • 0 in reply to wk_03
    I just found this in the Astaro Users Manual:
    Use Static Remote Access IP: Select if you want to assign a static IP address for a user gaining remote access instead of assigning a dynamic IP address from an IP address pool. For IPSec users behind a NAT router, for example, it is mandatory to use a static remote access IP address.

    Ilja, that's in 'Users >> Users' where you define users in the Astaro.

    I don't think it makes any difference to Ilja's problem if he uses certificates or a PSK.

    Thanks for the answer, Walter.

    Grüß - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0 in reply to wk_03
    I just found this in the Astaro Users Manual:
    Use Static Remote Access IP: Select if you want to assign a static IP address for a user gaining remote access instead of assigning a dynamic IP address from an IP address pool. For IPSec users behind a NAT router, for example, it is mandatory to use a static remote access IP address.

    Ilja, that's in 'Users >> Users' where you define users in the Astaro.

    I don't think it makes any difference to Ilja's problem if he uses certificates or a PSK.

    Thanks for the answer, Walter.

    Grüß - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Unfiltered HTML