Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 1303 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Masq Network-Group External

Pummel
Hi,

whe have a strange problem with users who whant to connect to an external company with a VPN client. What the VPN client actually does ist not known because it's a proprietary developement (PPTP/IPSec?). 

OK.

The problem is that the Client cannot connect to the VPN Gateway, and that the admin on the other side claims that there is no problem on his side.

I have the following Rules and Definitions on the ASG V6.202:

1. Networt-Group> PC1-PC5 >> WWA_PC
2. Network-NAT/Masq > Masq > WWA_PC > External

3. Packet Filter > Dest:WWA_PC > Service:ANY > Dest:ANY (ANY for testing)

The Packet Filer Live Log doesn't show any blocked Connection from the Clients except Port 138/138.

I Have one user that says he has only once got a connection which only kept for less than 5 minutes. His VPN Client actualy shows a successful connection for this time. Afterwards it never worked again. Unfortunately the Log shows no important information otherwise.

Comming from a standard DSL/Cable connection via a router it is no problem to establish a connection using this VPN client.

regards

Ulrich Tagge


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to mority
    Sorry what i meant in the first post was:

    3. Packet Filter > Source:WWA_PC > Service:ANY > Dest:ANY (ANY for testing)

    This rule grants access to the outside for the clients in the WWA_PC group.


    Regards

    Ulrich Tagge
  • 0 in reply to Pummel
    Hmm, but you still need a rule to allow the incoming tunnel traffic for the clients. But you don't know for which ports you should open the firewall since you don't know what protocol is used, eh?
    You could ask the admin of the remote VPN gateway for this information or you try to find it out on your own with tcpdump. Or you examine the VPN clients used.
  • 0 in reply to mority
    I have at the moment of the connection not seen any blocks in the filter live log.

    Yesterday I have add for testing the following rule:

    Source:ANY
    Dest: WWA_PC
    Service: ANY
    Allow

    The same result :-(

    Regards

    Ulrich Tagge
  • 0 in reply to Pummel
    Do a tcpdump while your client is trying to establish a connection

    tcpdump -i ethx (while x the number of the interface) | grep "ip-adress client"

    Normaly in such an eviroment, the client (initiator of the tunnel) uses NAT-Traversal with will handle ESP and AH via an UDP Port (4500).
  • 0 in reply to Pummel
    I have at the moment of the connection not seen any blocks in the filter live log.


    Do not trust the live logs 8-/

    Use tail -f /var/log/foo.log on CLI instead.
  • 0 in reply to mority
    Hi,

    I have this new information:

    - Ports that must be opened to outgoing traffic: 1723TCP/259TCP/and protocoll 47 GRE

    How can I open Protololl 47 GRE? (it should actually go with "ANY" in the FW-Rules anyway)

    Regards and a happy weekend

    Ulrich Tagge
  • 0 in reply to Pummel
    Unsure, GRE used to be a pre-defined protocol in older version but it's not showing in ASL 6.202  (And I cannot see how to add it).

    Please contact support?