This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Connecting through CheckPoint VPN client

I use Astaro 3.2 as firewall at home for about a year now and everything is working fine.  

However, I need to connect to my office through CheckPoint VPN client which I have already installed on my Windows workstation that is behind Astarto firewall.  My question is, how should I configure astaro in order pass through. 


This thread was automatically locked due to age.
  • I'm not the expert here, but since experts haven't responded yet. . .I believe from the documentation that this is where you use the "NAT Traversal" option in ASL--it's in the Global IPSEC settings at the top of the Connections page of the IPSEC menu.  Try it and let us know if it works!

    Dan  
  • Dan,

    I do not have this "NAT Traversal" option on ASL version 3.217. I only have "Status" and "IKE debugging" under the   Global IPSec Settings.

    Any other place I should look?

    Thanks,
    ao 
  • NAT-Traversal has to be used on the vpn-endpoints - not on the nat device inbetween... 

    if I get you right, you have a checkpoint client at home and a checkpoint fw in your company.. so using masq on the ASL and let the checkpoint-software do the 'rest' (like NAT-T) should do the job....

    cheers
    /marcel 
  • Marcel,

    Could you give me some inputs how the masq should be configured.

    ao  
  • Hi ao,

    first have a look at:
    http://www.fw-1.de/aerasec/4x/ports-41.html
    There you find the mostly used fw1client.exe using port 259/TCP. That´s the port your Windows-client has to reach on the IP of the Checkpoint (make a rule to allow windows-client to reach port 259/TCP on Checkpoint and watch the livelog). When the Checkpoint tries to initiate a connection to your windows and you have masq turned on, you see the IP of the Checkpoint trying to reach a port on the external IP of your ASL. That port(s) you have to dnat - source address is Checkpoint-IP, destination address is external IP of your ASL (if fixed, otherwise leave blank), service is the port the Checkpoint tries to reach on your ASL in livelog, change destination to is the IP of your Windows-client.
    Maybe you have to define more than one dnat rule, but watch for "increasing" port numbers in livelog, which means it might be a range.

    Ciao,
    Pedro  
  • Sorry for not making the situation clearer at first instant.  The CheckPoint VPN do connect successfully, only I can not use any of my applications such as connecting to the Intranet through IE or with TS to the internal systems.

    I have tested it without ASL and it worked fine, so that means that it is a specific configuration I have to do.  So I will say the problem might lies with masq and Rules.  At present, I have a masq that allow all request from the internal_Card >> External_Card. Do I need to make masq for a specific service? 
  • Don't know exactly...

    If checkpoint uses IPsec-VPN, try to define service ESP (encapsulated security payload) with SPI 256[:(]2^32-1) and create a rule allowing ESP for your client, maybe...

    Erik  
  • Argh...,

    ESP doesn't work with NAT!
    You have to use ESPoverUDP, checkpoint uses:

    2746 /udp  VPN1_IPSEC_encapsulation  Check Point VPN-1 SecuRemote IPSEC Transport Encapsulation Protocol
    - Default-Protocol used for UDP encapsulation 

    Erik  
  • I have been able to resolve it.  I guess the problem in my case was "resolution" since CheckPoint do connect successfully. I was able to access my office through the IP addresses, so I added our Internal WINS to ASL and it seems to work for now with hostnames.

    I will monitor it for the next weeks and come back if I am still facing problems.

    Thanks to all,
    ao