Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 2876 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can Astaro do "Inbound VPN (IPSec) NAT"

SHREK
Since, all internal servers are using another gateway (not Astaro). And, I want Astaro to handle IPSec VPN travel only... Any idea?
 [:S]  


This thread was automatically locked due to age.
  • 0
    I should have presented this option to your other post on PPTP VPNs.  You can assign "Virtual IPs" to IPSec tunnels, which is the same concept as the PPTP_Pool, except that you statically assign an IP address to a IPSec Tunnel, where the PPTP tunnel gets the next available address in the pool.

    Lets say you are using both kinds of VPNs.  Your Internal netowork is 192.168.1.0 255.255.255.0.  The Astaro is 192.168.1.2, and your other gateway device is 192.168.1.1.  

    We will say your PPTP_Pool is 192.168.2.0 255.255.255.0, and any addresses you statically assign to IPSec VPNs are from the subnet 192.168.3.0 255.255.255.0.  

    Basically, all you need to do is go to your primary gateway device and add a route for 192.168.2.0 255.255.255.0 and 192.168.3.0 255.255.255.0 to point at 192.168.1.2 (Astaro).  That means when your internal computer send the packets to their default gateway, they will then be routed to the Astaro box.

    If you set it up this way, you will not have to worry about any possible security holes from masquerading your PPTP Pool addresses, and IMO it is a much cleaner way of setting up the routing.

    Alternatively, you can add static routes for the 192.168.2.0 and 192.168.3.0 networks on every host machine, but that is a lot more work.  The only benefit is that it removes 1 hop from the routing.

    Hope that helps.  
  • 0 in reply to Moby
       Thanks for your valuable comments and suggestions.
    I'm sure your suggestion will work... but I do have some limitation in my setup:

    Virtual IPs... 
  • 0 in reply to SHREK
    I can't answer if virtual IP is a new feature of 4.0 because I've never used 3.2.  I'm fairly new to Astaro, although I've used many other firewall and VPN solutions.  

    Perhaps that is why I didn't initially understand your question in this post.  The Virtual IP in 4.0 basically is a NAT for the IPSec connection that is performed on your Astaro firewall, although you need to use a new address range (not an address from your Internet_Network) to make it work properly.

    Also, if you know there are only a handful of servers that your PPTP or IPSec clients need to access, you can add routes on each server for your PPTP_Pool network, or IPSec client networks.  You will not be able to communicate with any hosts that do not have the additional routes, but if you only need to talk to a handful of servers over your VPN, then it should work fine.  
  • 0 in reply to SHREK
    I've changed to A4. 
    Does virtual ip is per key basis?
    I use PSK, is it one psk map to one virtual ip?
    Does it work like PPTP-Pool, such that ip is auto assign rather that manual assign?  [:S] 
  • 0 in reply to SHREK
    I believe that you must manually assign an IP address, per remote key, when you use Virtual IPs.  Since you must manually enter an address, I do not see any way that you can assign a network range to a VPN client.