Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 30 replies
  • Subscribers 38 subscribers
  • Views 18151 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN/IPSEC Tunnel zur Astaro hinter Router

ibalint
Hi Leute,

ich hoffe Ihr könnt mir weiter helfen. Bin echt schon am verzweifeln.
Wir haben eine Astaro Security Gateway V7 und möchten Homeoffice Usern die Arbeit über einen VPN/IPSEC Tunnel ermöglichen.
Die Einwahl erfolgt über den NCP Secure Entry Client. Das ist der selbe Client wie von Astaro nur direkt vom Hersteller NCP.
Nun zum Problem:

Wenn Homeuser im Heimischen Netzwerk sich per Router in das WWW einwählen, geht es nicht.

PC -> Router -> WWW -> Astaro -> Firmennetz

Wenn ich jedoch im VPN Client die IP Adresse Manuell zuweise und die Offizielle Internet IP des Routers eingebe, geht es. Nur kann man nicht von jedem User verlangen, die Internet IP heraus zu finden und jedes mal in den VPN Client ein zu tragen.

Wie kann ich eine VPN/IPSEC Connection in der Astaro eintragen, bei der es egal ist, mit welcher IP der Client ankommt ?? Im remote Gateway von IPSEC habe ich bereits "Respond only" eingetragen. Auch ohne Erfolg.
Eingenartig ist auch, wenn ich mich per VPN/IPSEC einwähle, wird mir weder eine aktive Site2Site VPN noch ein remote Acces als Aktiv angezeigt.

Ich hoffe auf gute und konstruktive Antworten die mir weiter helfen könnten.


Grüße....


This thread was automatically locked due to age.
Parents
  • 0
    Vorab möchte ich mich entschuldigen, dass ich hier auf Englisch schreibe, aber mein Deutsch ist sehr eingerostet.

    Instead of trying to use the 'Site-to-Site >> IPSec VPN' section, define this in 'Remote Access >> L2TP over IPSec' or 'Remote Access >> IPSec'.  For more information about how to set this up, search in the Astaro KnowledgeBase for "road" as in "Road Warrior".

    Some home routers block VPN access.  Linksys routers, for example, enable VPN access by default, but some users may have changed that.

    If you use IPSec over L2TP, the standard Microsoft VPN client works well, and the instructions provided in the User Portal make it easy to set up.  For my customers, I create a customized end-user document from the client installation section, and include the actual URLs, etc that they need to use.  An additional advantage of the Windows client is the ease with which the end-user can select a split tunnel.

    If you have not installed the User Portal and you use LDAP or AD, email me, and I will send you a document that several people have used successfully.

    Grüß - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    thank you for Answer. Kindly excuse my bad English.
    We need to use a VPN/IPSEC Tunnel with Pre-shared Key and ESP. My Company has buy a lot of NCP IPSEC Secure Entry Clients. I have read the guide how to setup VPN for Roadwarriors and i have adjust these settings in Remote Access.
    It works with Clients with direct web connection (Modem, UMTS). Clients who are behind a router not works. Port Forwarding for IKE/IPSEC Ports are adjusted in router. Clients after a Router have IP Adresses 192.168.0.x-192.168.2.x. The internal Company Network has 192.168.4.x. I mean this is the Problem.  At a Client after the Router, i must configure the NCP IPSEC Client with the external web IP Adress. But not anyone of my colleagues can do this.
    I mean is´t a setup Problem in my Astaro IPSEC configuration. But i don´t know how can i do better.

    Danke noch mal an Bob für die Antwort. Diese Konfiguration ist bei uns leider nicht möglich.


    Grüße....
  • 0 in reply to BAlfson
    Als feste IP in der Firewall musst Du eine Adresse aus dem IPSec-Pool oder dem internen Netz verwenden. Nicht die lokale Adresse.

    Als Beispiel verwende ich immer 10.10.10.10
  • 0 in reply to wk_03
    Nein, leider kein Erfolg. Habe eine aus dem IPSEC Pool Netz genommen (10.242.4.5) und eine aus dem dortigen lokalen Netz. Gleiche Fehlermeldung. Auch die Konfig die Bob vorher meinte funktioniert nicht. 
    Ich weiß echt nicht mehr weiter.
    Ich würde ja gerne per X509 die Verbindung aufbauen. Nur weiß ich nicht, weshalb ich Zertifikate bekomme, die bereits April 2002 abgelaufen sind. 
     
    Gruß,
    Ilja
  • 0 in reply to ibalint
    Hallo Ilja,

    lege doch einmal einen neuen lokalen User an und schaue dann unter Remote Access / Certificate Management die Gültigkeit des neuen Users an.
    Bei mir (V7.304) entstehen dann Zertifikate, die bis 2036 gültig sind.

    Wenn dem so nicht ist, dann ist etwas oberfaul.

    Des weiteren habe ich noch einmal in den SecureClient geschaut. Unter Konfiguration/Profil-Einstellungen/IP-Adressen-Zuweisung empfiehlt es sich, den Punkt "IP-Adresse manuell vergeben" anzuklicken und dann die gleiche IP, wie in der ASG anzugeben.
  • 0 in reply to wk_03
    Geht leider nicht. Bekomme wieder ein Zertifikat mit Ablaufdatum April 2002.
    Folgende Fehlermeldung beim Client :
     
    RECEIVED : INVALID_KEY_INFORMATION : 17
     
    Wobei unsere Firmware Version 7.202 ist. Gibt es da bekannte bugs ??
     
     
    Grüße,
    Ilja
  • 0 in reply to ibalint
    So, hab das Ding jetzt auf 7.304 gebracht. Immer noch das selbe elend.
    Im VPN IPSEC Log der ASG habe ich folgenden Eintrag gefunden:
     
    2008:11:04-21:36:28 (none) pluto[3586]: "S_VPN Connect_0"[8] 93.135.52.156:62376 #125: cannot respond to IPsec SA request because no connection is known for 192.168.4.0/24===62.245.147.34:4500...93.135.52.156:62376[192.168.2.98]===62.245.147.34/32 
    2008:11:04-21:36:28 (none) pluto[3586]: "S_VPN Connect_0"[8] 93.135.52.156:62376 #125: sending encrypted notification INVALID_ID_INFORMATION to 93.135.52.156:62376 
    2008:11:04-21:36:28 (none) pluto[3586]: | state transition function for STATE_QUICK_R0 failed: INVALID_ID_INFORMATION 
    2008:11:04-21:36:28 (none) pluto[3586]: | next event EVENT_RETRANSMIT in 9 seconds for #124 
    2008:11:04-21:36:32 (none) pluto[3586]: | 

    Kann jemand was mit dem Fehler anfagen ??
     
    Grüße,
    Ilja
  • 0 in reply to ibalint
    Hallo Ilja,

    jetzt geht es für mich durcheinander.
    Wie hast Du den user angelegt, dass beim 'Client' eine Fehlermeldung kommt?

    Ich meinte anlegen über: Users/Users/New User

    Das dabei angelegte Zertifikat zeigt sich in Remote Access/Certificate Management.

    Kannst Du dieses Ergebnis hier posten?
  • 0 in reply to wk_03
    So, hier die Screenshots zum User und dem Zertifikat.
     
     



     
    Grüße,
    Ilja
  • 0 in reply to ibalint
    Hallo Ilja,

    da ist etwas faul. Ich kann Dir nicht sagen, was es ist.

    Ist es nur die Anzeige. Downloade doch einmal das Zertifikat als .pem und lese es mit einem Texteditor, ob diese unsinnige Jahresangabe wirklich im Zertifikat steht.
  • 0 in reply to wk_03
    Ja, die Jahresangabe steht so drin. Wenn ich es in den IPSEC Client lade, weist der mich darauf hin, daß es seit April 2002 abgelaufen ist.
    Es muß doch aber auch der Zugang mit Pre-shared Key möglich sein obwohl man hinter einem Router ist.
    Da gibt es sogar noch was neues. Ein Kollege hat E-Plus UMTS. Die vergebenen nen 10´er IP Bereich. Damit geht es auch nicht. Es liegt irgendwie an dieser IP.
    Wenn ich eine direkte Einwahlverbindung habe und der Client hat eine Offizielle Internet IP, dann geht es. Wenn ich dem Client hinter dem Router die Internet IP des Routers mit gebe, dann geht´s auch. Wenn der Client eine der Privaten Adressen benutzt, geht´s nicht. 
    NAT Funktioniert, da an der FW die Internet IP Ankommt. Allerdings auch die vom Client:
     
    2008:11:04-21:36:28 (none) pluto[3586]: "S_VPN Connect_0"[8] 93.135.52.156:62376 #125: cannot respond to IPsec SA request because no connection is known for 192.168.4.0/24===62.245.147.34:4500...93.135.52.156:62376[192.168.2.98]===62.245.147.34/32 
     
    Grüße,
    Ilja
  • 0 in reply to ibalint
    Hallo Ilja,

    ich muss jetzt leider passen.

    Für mich hat die Kiste einen Schuss und ich würde sie neu aufsetzen. (Ist nicht schön, aber meistens wirksam)

    Und wenn es an der einen Stelle klemmt, dann ist nicht unbedingt zu erwarten, dass es mit preshared keys richtig läuft.

    Aber vielleicht haben andere Kollegen noch bessere Ideen.
Reply
  • 0 in reply to ibalint
    Hallo Ilja,

    ich muss jetzt leider passen.

    Für mich hat die Kiste einen Schuss und ich würde sie neu aufsetzen. (Ist nicht schön, aber meistens wirksam)

    Und wenn es an der einen Stelle klemmt, dann ist nicht unbedingt zu erwarten, dass es mit preshared keys richtig läuft.

    Aber vielleicht haben andere Kollegen noch bessere Ideen.
Children
No Data
Unfiltered HTML