Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN/IPSEC Tunnel zur Astaro hinter Router

Hi Leute,

ich hoffe Ihr könnt mir weiter helfen. Bin echt schon am verzweifeln.
Wir haben eine Astaro Security Gateway V7 und möchten Homeoffice Usern die Arbeit über einen VPN/IPSEC Tunnel ermöglichen.
Die Einwahl erfolgt über den NCP Secure Entry Client. Das ist der selbe Client wie von Astaro nur direkt vom Hersteller NCP.
Nun zum Problem:

Wenn Homeuser im Heimischen Netzwerk sich per Router in das WWW einwählen, geht es nicht.

PC -> Router -> WWW -> Astaro -> Firmennetz

Wenn ich jedoch im VPN Client die IP Adresse Manuell zuweise und die Offizielle Internet IP des Routers eingebe, geht es. Nur kann man nicht von jedem User verlangen, die Internet IP heraus zu finden und jedes mal in den VPN Client ein zu tragen.

Wie kann ich eine VPN/IPSEC Connection in der Astaro eintragen, bei der es egal ist, mit welcher IP der Client ankommt ?? Im remote Gateway von IPSEC habe ich bereits "Respond only" eingetragen. Auch ohne Erfolg.
Eingenartig ist auch, wenn ich mich per VPN/IPSEC einwähle, wird mir weder eine aktive Site2Site VPN noch ein remote Acces als Aktiv angezeigt.

Ich hoffe auf gute und konstruktive Antworten die mir weiter helfen könnten.


Grüße....


This thread was automatically locked due to age.
Parents
  • Vorab möchte ich mich entschuldigen, dass ich hier auf Englisch schreibe, aber mein Deutsch ist sehr eingerostet.

    Instead of trying to use the 'Site-to-Site >> IPSec VPN' section, define this in 'Remote Access >> L2TP over IPSec' or 'Remote Access >> IPSec'.  For more information about how to set this up, search in the Astaro KnowledgeBase for "road" as in "Road Warrior".

    Some home routers block VPN access.  Linksys routers, for example, enable VPN access by default, but some users may have changed that.

    If you use IPSec over L2TP, the standard Microsoft VPN client works well, and the instructions provided in the User Portal make it easy to set up.  For my customers, I create a customized end-user document from the client installation section, and include the actual URLs, etc that they need to use.  An additional advantage of the Windows client is the ease with which the end-user can select a split tunnel.

    If you have not installed the User Portal and you use LDAP or AD, email me, and I will send you a document that several people have used successfully.

    Grüß - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob,

    thank you for Answer. Kindly excuse my bad English.
    We need to use a VPN/IPSEC Tunnel with Pre-shared Key and ESP. My Company has buy a lot of NCP IPSEC Secure Entry Clients. I have read the guide how to setup VPN for Roadwarriors and i have adjust these settings in Remote Access.
    It works with Clients with direct web connection (Modem, UMTS). Clients who are behind a router not works. Port Forwarding for IKE/IPSEC Ports are adjusted in router. Clients after a Router have IP Adresses 192.168.0.x-192.168.2.x. The internal Company Network has 192.168.4.x. I mean this is the Problem.  At a Client after the Router, i must configure the NCP IPSEC Client with the external web IP Adress. But not anyone of my colleagues can do this.
    I mean is´t a setup Problem in my Astaro IPSEC configuration. But i don´t know how can i do better.

    Danke noch mal an Bob für die Antwort. Diese Konfiguration ist bei uns leider nicht möglich.


    Grüße....
  • Das mit x509 hatte ich versucht. Leider auch ohne erfolg. Er erstellt mir Zertifikate die bereits im April 2002 abgelaufen sind. Da weiß ich leider auch nicht, wie ich das hinbekomme. Wenn hierfür jemand einen Tipp hat, mache ich es gerne per Zertifikat.
     
    Grüße,
    Ilja
  • I just found this in the Astaro Users Manual:
    Use Static Remote Access IP: Select if you want to assign a static IP address for a user gaining remote access instead of assigning a dynamic IP address from an IP address pool. For IPSec users behind a NAT router, for example, it is mandatory to use a static remote access IP address.

    Ilja, that's in 'Users >> Users' where you define users in the Astaro.

    I don't think it makes any difference to Ilja's problem if he uses certificates or a PSK.

    Thanks for the answer, Walter.

    Grüß - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • verwendest Du lokale User?
  • Ich habe tatsächlich User eingetragen. Habe beim VPNAccess User jetzt mal meine Lokale IP eingetragen. leider kein erfolg. Beim Admin habe ich nichts geändert. Es ist beim Admin aber auch keine IP hinterlegt.
  • Also es existiert ein User. Habe bei dem nun auch meine Lokale IP eingetragen. Ohne Erfolg. Am Admin habe ich nichts geändert.
     
  • More information from the User Manual's 'Remote Access >> IPSec' section:
    With NAT traversal you are able to place the firewall or a road warrior behind a NAT router and still establish an IPSec tunnel. Both IPSec peers must support NAT traversal if you want to use this feature, which is automatically negotiated. Make sure that the NAT device has IPSec-passthrough turned off, because this could impair the use of NAT traversal. 

    If road warriors want to use NAT traversal, their corresponding user object in WebAdmin must have a static remote access IP adress (RAS address) set (see also Use Static Remote Access IP on the user definitions page in WebAdmin). 

    By default, a NAT traversal keep-alive signal is sent at intervals of 60 seconds to prevent an established tunnel from expiring when no data is transmitted. The keep-alive messages are sent to ensure that the NAT router keeps the state information associated with the session so that the tunnel stays open. 

    That would seem to indicate that you should turn off 'IPSec passthrough' on your router at home.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Als feste IP in der Firewall musst Du eine Adresse aus dem IPSec-Pool oder dem internen Netz verwenden. Nicht die lokale Adresse.

    Als Beispiel verwende ich immer 10.10.10.10
  • Nein, leider kein Erfolg. Habe eine aus dem IPSEC Pool Netz genommen (10.242.4.5) und eine aus dem dortigen lokalen Netz. Gleiche Fehlermeldung. Auch die Konfig die Bob vorher meinte funktioniert nicht. 
    Ich weiß echt nicht mehr weiter.
    Ich würde ja gerne per X509 die Verbindung aufbauen. Nur weiß ich nicht, weshalb ich Zertifikate bekomme, die bereits April 2002 abgelaufen sind. 
     
    Gruß,
    Ilja
  • Hallo Ilja,

    lege doch einmal einen neuen lokalen User an und schaue dann unter Remote Access / Certificate Management die Gültigkeit des neuen Users an.
    Bei mir (V7.304) entstehen dann Zertifikate, die bis 2036 gültig sind.

    Wenn dem so nicht ist, dann ist etwas oberfaul.

    Des weiteren habe ich noch einmal in den SecureClient geschaut. Unter Konfiguration/Profil-Einstellungen/IP-Adressen-Zuweisung empfiehlt es sich, den Punkt "IP-Adresse manuell vergeben" anzuklicken und dann die gleiche IP, wie in der ASG anzugeben.
  • Geht leider nicht. Bekomme wieder ein Zertifikat mit Ablaufdatum April 2002.
    Folgende Fehlermeldung beim Client :
     
    RECEIVED : INVALID_KEY_INFORMATION : 17
     
    Wobei unsere Firmware Version 7.202 ist. Gibt es da bekannte bugs ??
     
     
    Grüße,
    Ilja
Reply
  • Geht leider nicht. Bekomme wieder ein Zertifikat mit Ablaufdatum April 2002.
    Folgende Fehlermeldung beim Client :
     
    RECEIVED : INVALID_KEY_INFORMATION : 17
     
    Wobei unsere Firmware Version 7.202 ist. Gibt es da bekannte bugs ??
     
     
    Grüße,
    Ilja
Children
  • So, hab das Ding jetzt auf 7.304 gebracht. Immer noch das selbe elend.
    Im VPN IPSEC Log der ASG habe ich folgenden Eintrag gefunden:
     
    2008:11:04-21:36:28 (none) pluto[3586]: "S_VPN Connect_0"[8] 93.135.52.156:62376 #125: cannot respond to IPsec SA request because no connection is known for 192.168.4.0/24===62.245.147.34:4500...93.135.52.156:62376[192.168.2.98]===62.245.147.34/32 
    2008:11:04-21:36:28 (none) pluto[3586]: "S_VPN Connect_0"[8] 93.135.52.156:62376 #125: sending encrypted notification INVALID_ID_INFORMATION to 93.135.52.156:62376 
    2008:11:04-21:36:28 (none) pluto[3586]: | state transition function for STATE_QUICK_R0 failed: INVALID_ID_INFORMATION 
    2008:11:04-21:36:28 (none) pluto[3586]: | next event EVENT_RETRANSMIT in 9 seconds for #124 
    2008:11:04-21:36:32 (none) pluto[3586]: | 

    Kann jemand was mit dem Fehler anfagen ??
     
    Grüße,
    Ilja
  • Hallo Ilja,

    jetzt geht es für mich durcheinander.
    Wie hast Du den user angelegt, dass beim 'Client' eine Fehlermeldung kommt?

    Ich meinte anlegen über: Users/Users/New User

    Das dabei angelegte Zertifikat zeigt sich in Remote Access/Certificate Management.

    Kannst Du dieses Ergebnis hier posten?
  • So, hier die Screenshots zum User und dem Zertifikat.
     
     



     
    Grüße,
    Ilja
  • Hallo Ilja,

    da ist etwas faul. Ich kann Dir nicht sagen, was es ist.

    Ist es nur die Anzeige. Downloade doch einmal das Zertifikat als .pem und lese es mit einem Texteditor, ob diese unsinnige Jahresangabe wirklich im Zertifikat steht.
  • Ja, die Jahresangabe steht so drin. Wenn ich es in den IPSEC Client lade, weist der mich darauf hin, daß es seit April 2002 abgelaufen ist.
    Es muß doch aber auch der Zugang mit Pre-shared Key möglich sein obwohl man hinter einem Router ist.
    Da gibt es sogar noch was neues. Ein Kollege hat E-Plus UMTS. Die vergebenen nen 10´er IP Bereich. Damit geht es auch nicht. Es liegt irgendwie an dieser IP.
    Wenn ich eine direkte Einwahlverbindung habe und der Client hat eine Offizielle Internet IP, dann geht es. Wenn ich dem Client hinter dem Router die Internet IP des Routers mit gebe, dann geht´s auch. Wenn der Client eine der Privaten Adressen benutzt, geht´s nicht. 
    NAT Funktioniert, da an der FW die Internet IP Ankommt. Allerdings auch die vom Client:
     
    2008:11:04-21:36:28 (none) pluto[3586]: "S_VPN Connect_0"[8] 93.135.52.156:62376 #125: cannot respond to IPsec SA request because no connection is known for 192.168.4.0/24===62.245.147.34:4500...93.135.52.156:62376[192.168.2.98]===62.245.147.34/32 
     
    Grüße,
    Ilja
  • Hallo Ilja,

    ich muss jetzt leider passen.

    Für mich hat die Kiste einen Schuss und ich würde sie neu aufsetzen. (Ist nicht schön, aber meistens wirksam)

    Und wenn es an der einen Stelle klemmt, dann ist nicht unbedingt zu erwarten, dass es mit preshared keys richtig läuft.

    Aber vielleicht haben andere Kollegen noch bessere Ideen.