Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 30 replies
  • Subscribers 38 subscribers
  • Views 18152 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN/IPSEC Tunnel zur Astaro hinter Router

ibalint
Hi Leute,

ich hoffe Ihr könnt mir weiter helfen. Bin echt schon am verzweifeln.
Wir haben eine Astaro Security Gateway V7 und möchten Homeoffice Usern die Arbeit über einen VPN/IPSEC Tunnel ermöglichen.
Die Einwahl erfolgt über den NCP Secure Entry Client. Das ist der selbe Client wie von Astaro nur direkt vom Hersteller NCP.
Nun zum Problem:

Wenn Homeuser im Heimischen Netzwerk sich per Router in das WWW einwählen, geht es nicht.

PC -> Router -> WWW -> Astaro -> Firmennetz

Wenn ich jedoch im VPN Client die IP Adresse Manuell zuweise und die Offizielle Internet IP des Routers eingebe, geht es. Nur kann man nicht von jedem User verlangen, die Internet IP heraus zu finden und jedes mal in den VPN Client ein zu tragen.

Wie kann ich eine VPN/IPSEC Connection in der Astaro eintragen, bei der es egal ist, mit welcher IP der Client ankommt ?? Im remote Gateway von IPSEC habe ich bereits "Respond only" eingetragen. Auch ohne Erfolg.
Eingenartig ist auch, wenn ich mich per VPN/IPSEC einwähle, wird mir weder eine aktive Site2Site VPN noch ein remote Acces als Aktiv angezeigt.

Ich hoffe auf gute und konstruktive Antworten die mir weiter helfen könnten.


Grüße....


This thread was automatically locked due to age.
  • 0 in reply to wk_03
    So, habe nun mal geschaut mit welcher IP mein Client ankommt, wenn ich hinter dem Router die Lokale IP für den IPSEC Client verwendet. Er kommt mit der Internet IP vom Router an. Also das sollte passen. Geht aber komischerweise so nicht.
    Die Einstellung für die feste IP habe ich nicht gefunden.
    Ich habe ein Screenshot von der Astaro Remote Einstellung.
    Leider habe ich aber noch nicht heraus gefunden, wie ich die Grafik Poste.

    Hier aber ein Auszug aus dem Log des IPSEC Client:

    04.11.2008 13:18:57    Authentication=PRE_SHARED_KEY,Encryption=AES,Hash=MD5,DHGroup=5,KeyLen=256
    04.11.2008 13:18:57  Ike - Kunde ->Support for NAT-T version - 9
    04.11.2008 13:18:57  Ike - XMIT_MSG3_MAIN - Kunde
    04.11.2008 13:18:57  Ike - RECV_MSG4_MAIN - Kunde
    04.11.2008 13:18:57  Ike - Turning on NATD mode - Kunde - 1
    04.11.2008 13:18:57  Ike - XMIT_MSG5_MAIN - Kunde
    04.11.2008 13:18:57  Ike - RECV_MSG6_MAIN - Kunde
    04.11.2008 13:18:57  Ike - IkeSa negotiated with the following properties -
    04.11.2008 13:18:57    Authentication=PRE_SHARED_KEY,Encryption=AES,Hash=MD5,DHGroup=5,KeyLen=256
    04.11.2008 13:18:57  Ike - Turning on DPD mode - Kunde
    04.11.2008 13:18:57  Ike - phase1:name(Kunde) - connected
    04.11.2008 13:18:57  SUCCESS: IKE phase 1 ready
    04.11.2008 13:18:57  Ipsec - Phase1 is Ready: IkeIndex = 0000000a
    04.11.2008 13:18:57  Ipsec - Quick Mode is Ready: IkeIndex = 0000000a , VpnSrcPort = 4500
    04.11.2008 13:18:57  Ipsec - Assigned IP Address: 192.168.0.102
    04.11.2008 13:18:57  IkeQuick - XMIT_MSG1_QUICK - Kunde
    04.11.2008 13:18:57  Ike - NOTIFY : Kunde : RECEIVED : INVALID_ID_INFORMATION : 18
    04.11.2008 13:19:02  Ike - NOTIFY : Kunde : RECEIVED : INVALID_MESSAGE_ID : 9
    04.11.2008 13:19:04  Ike - NOTIFY : Kunde : RECEIVED : INVALID_MESSAGE_ID : 9
    04.11.2008 13:19:07  Ike - NOTIFY : Kunde : RECEIVED : INVALID_MESSAGE_ID : 9
    04.11.2008 13:19:10  IkeQuick - phase2:name(Kunde) - error - retry timeout - max retries
    04.11.2008 13:19:10  Ipsec - Disconnected from Kunde on channel 1.

    Oben sieht man, daß er die Lokale IP mit gibt.
    Wenn ich die Internet IP vom Router angebe, gehts und sieh folgendermaßen aus:

    04.11.2008 13:25:30  Ike - RECV_MSG4_MAIN - Kunde
    04.11.2008 13:25:30  Ike - Turning on NATD mode - Kunde - 1
    04.11.2008 13:25:30  Ike - XMIT_MSG5_MAIN - Kunde
    04.11.2008 13:25:30  Ike - RECV_MSG6_MAIN - Kunde
    04.11.2008 13:25:30  Ike - IkeSa negotiated with the following properties -
    04.11.2008 13:25:30    Authentication=PRE_SHARED_KEY,Encryption=AES,Hash=MD5,DHGroup=5,KeyLen=256
    04.11.2008 13:25:30  Ike - Turning on DPD mode - Kunde
    04.11.2008 13:25:30  Ike - phase1:name(Kunde) - connected
    04.11.2008 13:25:30  SUCCESS: IKE phase 1 ready
    04.11.2008 13:25:30  Ipsec - Phase1 is Ready: IkeIndex = 0000000b
    04.11.2008 13:25:30  Ipsec - Quick Mode is Ready: IkeIndex = 0000000b , VpnSrcPort = 4500
    04.11.2008 13:25:30  Ipsec - Assigned IP Address: 88.217.36.244
    04.11.2008 13:25:30  IkeQuick - XMIT_MSG1_QUICK - Kunde
    04.11.2008 13:25:30  IkeQuick - RECV_MSG2_QUICK - Kunde
    04.11.2008 13:25:30  IkeQuick - Turning on PFS mode(Kunde) with group 5
    04.11.2008 13:25:30  IkeQuick - XMIT_MSG3_QUICK - Kunde
    04.11.2008 13:25:30  IkeQuick - phase2:name(Kunde) - connected
    04.11.2008 13:25:30  SUCCESS: Ike phase 2 (quick mode) ready
    04.11.2008 13:25:30  IpSec - Created an IPSEC SA with the following characteristics -
    04.11.2008 13:25:30    IpSrcRange[88.217.36.244-88.217.36.244] IpDstRange[192.168.4.0-192.168.4.255] IpProt=0 SrcPortRange[0-65535] DstPortRange[0-65535]
    04.11.2008 13:25:30  IpSec - connected: LifeDuration in Seconds = 23040 and in KiloBytes = 0
    04.11.2008 13:25:30  Ipsec - Connected to Kunde on channel 1.
    04.11.2008 13:25:30  PPP(Ipcp) - connected to Kunde with IP Address: 088.217.036.244. : 088.217.036.245.
    04.11.2008 13:25:30  SUCCESS: PPP(Ipcp) address assignment ready
    04.11.2008 13:25:30  SUCCESS: IpSec connection ready

    Man sieht weiter oben, daß er auch die IP mit gibt. Ich denke das die Astaro mit dieser Privaten IP ein Problem hat. Weiß aber nicht, wo man das einstellen kann.
    Ich gebe auch offen zu, das ich mit der ASG in´s kalte Wasser geshmissen wurde.

    Grüße,
    Ilja
  • 0 in reply to ibalint
    Hallo Ilja,

    die feste IP gibst Du bei den usern ein.
    Wenn Du bei Users/Users den User editierst, der das VPN benutzen soll, gibt es die Einstellung:
    Use static remote access IP. Hier gibst Du eine Adresse an.

    Die selbe Adresse musst Du auch im SecureClient eintragen.
  • 0 in reply to ibalint
    Hallo Walter,
     
    ich gebe für die Verbindung keinen User an. Wir verbinden uns per Pre-shared-key. Hier nun der Screenshot.
     
  • 0 in reply to ibalint
    Hallo Ilja,

    bei PresharedKey muss ich passen. Das habe ich noch nie verwendet, denn mit X509 geht es bei Astaro so gut und leicht und ich kann jedem User oder Usergruppe gezielt Rechte geben oder entziehen.
  • 0 in reply to wk_03
    Das mit x509 hatte ich versucht. Leider auch ohne erfolg. Er erstellt mir Zertifikate die bereits im April 2002 abgelaufen sind. Da weiß ich leider auch nicht, wie ich das hinbekomme. Wenn hierfür jemand einen Tipp hat, mache ich es gerne per Zertifikat.
     
    Grüße,
    Ilja
  • 0 in reply to wk_03
    I just found this in the Astaro Users Manual:
    Use Static Remote Access IP: Select if you want to assign a static IP address for a user gaining remote access instead of assigning a dynamic IP address from an IP address pool. For IPSec users behind a NAT router, for example, it is mandatory to use a static remote access IP address.

    Ilja, that's in 'Users >> Users' where you define users in the Astaro.

    I don't think it makes any difference to Ilja's problem if he uses certificates or a PSK.

    Thanks for the answer, Walter.

    Grüß - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to ibalint
    verwendest Du lokale User?
  • 0 in reply to wk_03
    Ich habe tatsächlich User eingetragen. Habe beim VPNAccess User jetzt mal meine Lokale IP eingetragen. leider kein erfolg. Beim Admin habe ich nichts geändert. Es ist beim Admin aber auch keine IP hinterlegt.
  • 0 in reply to wk_03
    Also es existiert ein User. Habe bei dem nun auch meine Lokale IP eingetragen. Ohne Erfolg. Am Admin habe ich nichts geändert.
     
  • 0 in reply to wk_03
    More information from the User Manual's 'Remote Access >> IPSec' section:
    With NAT traversal you are able to place the firewall or a road warrior behind a NAT router and still establish an IPSec tunnel. Both IPSec peers must support NAT traversal if you want to use this feature, which is automatically negotiated. Make sure that the NAT device has IPSec-passthrough turned off, because this could impair the use of NAT traversal. 

    If road warriors want to use NAT traversal, their corresponding user object in WebAdmin must have a static remote access IP adress (RAS address) set (see also Use Static Remote Access IP on the user definitions page in WebAdmin). 

    By default, a NAT traversal keep-alive signal is sent at intervals of 60 seconds to prevent an established tunnel from expiring when no data is transmitted. The keep-alive messages are sent to ensure that the NAT router keeps the state information associated with the session so that the tunnel stays open. 

    That would seem to indicate that you should turn off 'IPSec passthrough' on your router at home.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML