Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 11116 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ssh sentinal, net-to-net, nat-t

seb-zrh
hello there,

somebody yet doing a connection via ssh sential behind an astaro with nat enabled to another astaro? in this case using nat-t?

any docs how to do this? ssh-sentinal without nat to astaro works fine yet.

thanks,

sebastian

 


This thread was automatically locked due to age.
Parents
  • 0
    I´ve tried to do, but it didn´t work. It breaks in IKE Phase two. This message appears in the live log: No connection known for "local network"--"local endpoint"   "IP of the route doing NAT"---"internal IP of the Client"
    There is a message in the log file on he astaro like " the client seems to be behind a router, NAT-Traversal is beeing used".
    is anybody able to help?
    Indy  
  • 0 in reply to IndianaJonas
    A little bit more Infomation.
    I tried to connect via IPSEC to a remote Firewall using x.509 certificate. the client (Sentinel) is behind an astaro 4.002 firewall and uses masquerading.
    Here is the information from the Livelog, where 1.1.1.1 is the official IP of the router, the client is behind:

    Apr  4 16:14:55 (none) pluto[10595]: packet from 1.1.1.1:500: ignoring Vendor ID payload [SSH Sentinel 1.4]
    Apr  4 16:14:55 (none) pluto[10595]: packet from 1.1.1.1:500: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-01]
    Apr  4 16:14:55 (none) pluto[10595]: packet from 1.1.1.1:500: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-02]
    Apr  4 16:14:55 (none) pluto[10595]: packet from 1.1.1.1:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
    Apr  4 16:14:55 (none) pluto[10595]: "test_1"[1] 1.1.1.1 #315: responding to Main Mode from unknown peer 1.1.1.1
    Apr  4 16:14:55 (none) pluto[10595]: "test_1"[1] 1.1.1.1 #315: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-00: peer is NATed
    Apr  4 16:14:55 (none) pluto[10595]: "test_1"[1] 1.1.1.1 #315: Warning: peer is NATed but source port is still udp/500. Ipsec-passthrough NAT device suspected -- NAT-T may not work.
    Apr  4 16:15:00 (none) pluto[10595]: "test_1"[1] 1.1.1.1 #315: ignoring informational payload, type IPSEC_INITIAL_CONTACT
    Apr  4 16:15:00 (none) pluto[10595]: "test_1"[1] 1.1.1.1 #315: Peer ID is ID_USER_FQDN: 'tester@otherside.com'
    Apr  4 16:15:00 (none) pluto[10595]: "test_1"[1] 1.1.1.1 #315: Issuer CRL not found
    Apr  4 16:15:00 (none) pluto[10595]: "test_1"[1] 1.1.1.1 #315: Issuer CRL not found
    Apr  4 16:15:00 (none) pluto[10595]: "test_1"[1] 1.1.1.1 #315: sent MR3, ISAKMP SA established
    Apr  4 16:15:00 (none) pluto[10595]: "test_1"[1] 1.1.1.1 #315: cannot respond to IPsec SA request because no connection is known for remotenetwork/24===official_remote_ip[fw@otherside.com]...1.1.1.1[tester@otherside.com]===my_internal_ip/32
    Apr  4 16:15:00 (none) pluto[10595]: "test_1"[1] 1.1.1.1 #315: sending encrypted notification INVALID_ID_INFORMATION to 1.1.1.1:500



    If i try the same with an official IP on the client it works. NAT-Traversal is activated on the Remote-Firewall and on the Sentinel Client.
    Any ideas?
    Indy  
Reply
  • 0 in reply to IndianaJonas
    A little bit more Infomation.
    I tried to connect via IPSEC to a remote Firewall using x.509 certificate. the client (Sentinel) is behind an astaro 4.002 firewall and uses masquerading.
    Here is the information from the Livelog, where 1.1.1.1 is the official IP of the router, the client is behind:

    Apr  4 16:14:55 (none) pluto[10595]: packet from 1.1.1.1:500: ignoring Vendor ID payload [SSH Sentinel 1.4]
    Apr  4 16:14:55 (none) pluto[10595]: packet from 1.1.1.1:500: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-01]
    Apr  4 16:14:55 (none) pluto[10595]: packet from 1.1.1.1:500: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-02]
    Apr  4 16:14:55 (none) pluto[10595]: packet from 1.1.1.1:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
    Apr  4 16:14:55 (none) pluto[10595]: "test_1"[1] 1.1.1.1 #315: responding to Main Mode from unknown peer 1.1.1.1
    Apr  4 16:14:55 (none) pluto[10595]: "test_1"[1] 1.1.1.1 #315: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-00: peer is NATed
    Apr  4 16:14:55 (none) pluto[10595]: "test_1"[1] 1.1.1.1 #315: Warning: peer is NATed but source port is still udp/500. Ipsec-passthrough NAT device suspected -- NAT-T may not work.
    Apr  4 16:15:00 (none) pluto[10595]: "test_1"[1] 1.1.1.1 #315: ignoring informational payload, type IPSEC_INITIAL_CONTACT
    Apr  4 16:15:00 (none) pluto[10595]: "test_1"[1] 1.1.1.1 #315: Peer ID is ID_USER_FQDN: 'tester@otherside.com'
    Apr  4 16:15:00 (none) pluto[10595]: "test_1"[1] 1.1.1.1 #315: Issuer CRL not found
    Apr  4 16:15:00 (none) pluto[10595]: "test_1"[1] 1.1.1.1 #315: Issuer CRL not found
    Apr  4 16:15:00 (none) pluto[10595]: "test_1"[1] 1.1.1.1 #315: sent MR3, ISAKMP SA established
    Apr  4 16:15:00 (none) pluto[10595]: "test_1"[1] 1.1.1.1 #315: cannot respond to IPsec SA request because no connection is known for remotenetwork/24===official_remote_ip[fw@otherside.com]...1.1.1.1[tester@otherside.com]===my_internal_ip/32
    Apr  4 16:15:00 (none) pluto[10595]: "test_1"[1] 1.1.1.1 #315: sending encrypted notification INVALID_ID_INFORMATION to 1.1.1.1:500



    If i try the same with an official IP on the client it works. NAT-Traversal is activated on the Remote-Firewall and on the Sentinel Client.
    Any ideas?
    Indy  
Children
  • 0 in reply to IndianaJonas
    I found the solution in the beta forum.
    you have to set a virtual IP on the Firewall for every user and the same in the sentinel properties.
    then it should work
    Indy  
  • 0 in reply to IndianaJonas
    I've had some success with a similar situation, however, I had to manually create the IPSEC definitions in /var/chroot-ipsec/etc/ipsec.conf-default.

    In my set up, I VPN into our office through a Netgear gateway (NAT) using preshared secrets.  My PC is configured with ip y.y.y.y.  Our Astaro public IP is x.x.x.x

    Here's the IPSEC definition I use on our Astaro box:
    conn Remote1__TO__Eth0_1
            type="tunnel"
            keyexchange="ike"
            pfsgroup="modp1536"
            pfs="yes"
            ike="3des-md5-modp1536"
            esp="3des-md5"
            keylife="10800"
            ikelifetime="21600"
            compress="yes"
            left="x.x.x.x"
            right="0.0.0.0"
            auto="add"
            leftupdown="/opt/_updown 2>/tmp/log 1>/tmp/log"
            rightupdown="/opt/_updown 2>/tmp/log 1>/tmp/log"
            leftsubnet="192.168.254.0/255.255.255.0"
            rightsubnet="y.y.y.y/255.255.255.255"
            leftid="x.x.x.x"
            rightid="y.y.y.y"
            authby="secret"

    Remember to also update /var/chroot-ipsec/etc/ipsec.secrets-default for authentication settings.

    Good luck,

    Vlad  
Unfiltered HTML