Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 3 subscribers
  • Views 4317 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Protocol 50 (ESP)

Tester100
Using Astaro 2.x with a rule enabling protocol 50 (esp) and udp 500 for internal lan to connect to IPSEC VPN shows ESP being blocked even though the rule says allow, anyone experience this and fixed the problem.

Thanks.


This thread was automatically locked due to age.
  • 0
    Does the internal LAN have official IP addresses, or is it masqueraded ?

    /tom
  • 0 in reply to tom_01
    Tom, the Internal LAN is masqueraded and this is a 2.1 box. We have another machine running 2.0 with the same config that works fine and allows ESP traffic to pass to an external VPN appliance.

    Thanks.
  • 0 in reply to Tester100
    Tom, here is the solution I used to get around the problem, I set the SPI range to 256:4294967295 when I set the filter and it solved the problem.  You may want to investigate this one further as to why the Astaro recommended range of 256:65536 did not work in this case.  The versions that were tried were 2.0 and 2.1.

    Thanks.
  • 0 in reply to Tester100
    Hi there, 

    where did you find the default range?
    Online Help, manual.

    This was a known typo and should be fixed.
    In the Language database I checked, this issue is fixed.

    Thanks for your help, 
    kind regards

    Gert Hansen
  • 0 in reply to Gert Hansen
    Gert, I found the 256:65536 range from the online help on the service definition page.  The value that I added, I extracted from an original ASL box and as you can see the range wasn't what was described in online help.  I've tested the value 256:4294967295 on a 2.0 with updates and 2.1 ASL box and they work fine, the value 256.65536 does not work on a ASL 2.1 or 2.0 and I don't know why because it originally worked.

    Thanks.
Unfiltered HTML