CISCO VPN Client from BEHIND Astaro

did packetfilter livelog say anything while connecting? maybe tcpdump will help.

Are you using the cisco vpn client on a standard UDP configuration or a tcp connection?

I run the cisco client at home behind astaro fine and dandy... im only useing tcp ports however...

hi,

you will need to allow PROTOCOL 50 and 51 (esp/ah) to the concentrator.

just add a new service with protocol 50 and 51 and then a rule wich allows this kind of traffic to your vpn concentrator.
and of course allow port 500 (source and destination port) for all protocolls (udp,tcp,esp, and ah) to the concentrator. 

a proper configured concentrator and  version 3.6 of the vpn client automaticaly detects if your gateway is performing nat and will switch to nat-t.

so long,

gnujuba

Going direct to my internet connection TCP mode does not work, almost like they have it disabled at the concentrator.

As for ports, I ahve the packet filter in astaro set to allow all, it's not filtering anything.  

Services in Astaro shouldn't really matter if the packet filters are turned off.  Do I need to map something from astaro to the client PC inside?

Is there a way within linux to have a "DMZ" PC?  Like in a linksys router?

To confirm, the Astaro box is at my HOUSE, the concentrator is the OFFICE.

i am not sure but i think "all" regarding protocols is only udp and tcp for astaro. 
did you try to instert the new protocol types (50/51) and allow traffic with these protocols ?

we have the same setup except we have a public ip for the vpn client. but as i understand the vpn client docu at cisco.com, the server and client will realize that your home router/firewall is perfroming nat/pat and then the client will encapsulate all esp and ah traffich in udp port 500 or tcp port 10000 (depends an what you choose at the client).

did you try both types at the client ? udp and tcp ?

to your question with "dmz pc": this is regular destination nat (dnat) configuration which is possible with astaro (i dont know the linksys router, but i think this is what you are seraching for) . you could forward all incoming connections to your home pc. 
but i dont think you will need it for your vpn connection.

regards,

gnujuba

I use this exact same arrangement for work. You need port 500 UDP source and destination and the protocol is GRE (47?). I'm away from home right now but give it a try. I believe this is my configuration.

Great thanks Jim M, i'll try that, please let me know what your settings are.

I can NOT use TCP for some reason with our concentrator.  Even with a direct connection the TCP option doesn't work.

I did try adding a default NAT rule such as 
Match any --> Public / All/All  dst trans to my PC

that didn't even work!
 
 [size="1"][ 22 August 2002, 18:50: Message edited by: Grinthock ][/size]

I didn't need any SNAT/DNAT rules.

Services:
UDP500   SPT:500 DPT:500
UDP10k   SPT:10000 DPT:10000
GRE
Rules:
SourceIP-Serv-DestIP-Rule
1.Eth0_network-UDP500-Any-Allow
2.Eth0_network-UDP10000-Any-Allow
3.Eth0_network-GRE-Any-Allow

Try this. I'm traveling so I don't have access to my Firewall right now.
 
 [size="1"][ 27 August 2002, 13:16: Message edited by: Jim M. ][/size]

I didn't need any SNAT/DNAT rules.

Services:
UDP500   SPT:500 DPT:500
UDP10k   SPT:10000 DPT:10000
GRE
Rules:
SourceIP-Serv-DestIP-Rule
1.Eth0_network-UDP500-Any-Allow
2.Eth0_network-UDP10000-Any-Allow
3.Eth0_network-GRE-Any-Allow

Try this. I'm traveling so I don't have access to my Firewall right now.
 
 [size="1"][ 27 August 2002, 13:16: Message edited by: Jim M. ][/size]