Thread Info
Options
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec Passthrough Setup (AT&T NetClient)

trainee
I wasn't sure if I should post in this (Firewall, Routing...) forum or the VPN forum but I think this is more of a routing question.  I have a VPN client (AT&T NetClient) that runs on my work laptop and connects to the company intranet.  Because the company I work for is very large and I have to use the AT&T NetClient application I would like to setup an IPSec Passthrough my ASL-5 firewall.  I do not have the information to setup a site-to-site firewall and it is against company policy to leave a VPN connection unattended.

I believe the following ports need to be forwarded both in and out of the firewall:

ESP, TCP 50
AH, TCP 51
ISAKMP, UDP 500
PPTP, TCP 1723

I have tried a number of different combinations and I have been searching for an a previous answer in the forum but up until now I've had no luck.  I am running a pretty basic NAT/Masquerade from a cablemodem.  Any help would be greatly appreciated.  Thanks.


This thread was automatically locked due to age.
  • 0
    So you establish the conection from your laptop. So it is an outgoing connection from Firewalls point of view.
    I assume the firewall makes masquerading.
    If it is a normal IPsec connection you normally need NAT-T to be able to pass a masquerading device. NAT-T uses port 4500/udp. So you have to add packetfilter rules for outgoing traffic:
    ESP
    AH
    port 500/udp
    port 4500/udp

    That should be enought. Maybe AT&T NetClient makes some special things which requires some special ports. So have a look into the packetfilter log to find droped packets. Also it might be possible that AT&T NetClient does not support NAT-T and so is not able to pass a masquerading firewall.

    Xeno
    • 0 in reply to Xeno
      I'm having a similar problem.  I just retired a firewall PC built on slackware that I used to protect my home network and brought up Astaro in it's place.  I successfully used the AT&T VPN client behind the old firewall (configured to MASQ the private home network) to access my employer's network.

      I've also configured Astaro with MASQ and, with no changes to the AT&T VPN client, am unable to establish the VPN connection.

      Here is a snippet from the VPN client log file at the point of failure (IP addressed masked with X's):

      01:59:58.943 ---------- Change state to 'AuthenticatingTunnel'. ----------
      01:59:58.943 Authenticating with the VPN server (12.X.X.X)...
      01:59:58.993 Action 1 of 1 is 'LogonToIPSecTunnelServer' (result required in 105 seconds)...
      01:59:58.993 Configured to negotiate UDP encapsulation
      01:59:58.993 Obtained VPN MTU Size value '1370' from preferences.
      01:59:59.003 Logon request sent to VPN server 12.X.X.X...
      01:59:59.003 Wait for asynchronous action to complete.
      01:59:59.013 A VPN logon message 1 was received.
      01:59:59.013 Accessing digital certificate...
      02:00:04.190 A VPN logon message 2 was received.
      02:00:04.190 Negotiating encryption keys with the VPN server (12.X.X.X)...
      02:00:06.604 A VPN logon message 3 was received.
      02:00:06.604 Authenticating with the VPN server (12.X.X.X)...
      02:00:17.069 The VPN logon response was received.
      02:00:17.069 The tunneled intranet address is 10.X.X.X.
      02:00:17.069 The local address is 192.168.1.59.
      02:00:17.069 The local gateway address is 192.168.1.200.

        (Networks I now have access to listed)

       02:00:17.089 Last login error set to 240.
      02:00:17.089 'LogonToIPSecTunnelServer' failed.
      02:00:17.089 FSM error in state 'AuthenticatingTunnel'.
      02:00:17.089 !Error 240 VPN server failed authentication for unknown reason. (error 240).

      ------------------------------------------------------

      While I do have 8 packet filter rules, I haven't created any special rules to support VPN b/c my first packet filter rule allows internal network on any service to any destination.   My understanding is that this should cover IPSec, Nat-T, ESP, AH, etc.

      Since the VPN client is clearly capable of traversing a linux masq firewall, why won't Astaro route/masq this traffic correctly?
      • 0 in reply to scadle
        Oh... and I forgot to mention... the Astaro packet filter live monitor does not show any packets being dropped while the VPN client is trying to connect.