Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 3205 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

anyone setup secure planet vpn client?

techguru916
Hello, Im currently working behind an astaro firewall. I have users here that wish to connect to a vpn elsewhere using the above mentioned vpn client which can be found at http://www.secure-planet.com. Their documentation says that only tcp port 9555 needs to allow traffic out. Well Ive made a rule that allows tcp 9555 out and I can telnet to the remote vpn from behind the firewall and get a connection. Ive set rules for esp and ah to be allowed out but I have no idea what im doing with those two protocols. The vpn client will not work, but when I watch the packet filter log nothing is being blocked from my machines IP. I can get the client to work when I plug my pc directly into the cisco router and bypass the firewall. any ideas?


This thread was automatically locked due to age.
Parents
  • 0
    Ran across something like this with one of my customers.. if the VPN that your using uses ISAKMP (UDP 500) and you have IPSEC VPN turned on (in their case it was), you may need to add some SNAT  / DNAT rules and specific packet filters to get it working right..
Reply
  • 0
    Ran across something like this with one of my customers.. if the VPN that your using uses ISAKMP (UDP 500) and you have IPSEC VPN turned on (in their case it was), you may need to add some SNAT  / DNAT rules and specific packet filters to get it working right..
Children
  • 0 in reply to BrucekConvergent
    i opened udp and tcp 500 just in case and it had no effect. their documentation stats you only need 9555 but i think for some reason my esp or ah rule isnt working... im not sure what numbers to put in the ports section for those rules so I left the default range.
  • 0 in reply to techguru916
    Depending on what mode your running.

    Port tcp:9555 is for their own IPSec over TCP implementation. 
    For NAT-Traversal (IPSEC over UDP) you need udp:4500.
    ISAKMP is port udp:500 and is always needed.

    Default IPSec ne the protocolls esp and ah allowed.
  • 0 in reply to NimmdirKeks
    Ive got 4500 and 500 open, still no dice. Ive watched and downloaded the logs and there is nothing being blocked (according to the logs) to my vpn destination ip or even originating from my ip. Ive allowed esp and ah with the default range of 256:4294967295... I dont know what this means and cant find any information on it. I wish i could post pictures here so i could show the rules and definistions I have setup.
  • 0 in reply to techguru916
    Ive got netstat viewer open while im trying to connect. to the vpn ip on port 9555 it says established. on port 500 it says syn_sent. these are the only 2 connections going to that ip from my machine. i guess this means 500 is being blocked? I have a service definition setup that says tcp/udp source 1:65535 dest 500... and a packet filter rule that says allow any - port 500 service - any....
  • 0 in reply to techguru916
    ... ah with the default range of 256:4294967295... I dont know ... 


    Thats the number of the SPI (Security Parameter Index), with each tunne has its own SPI number (similar to a GOTO function). 

     ... on port 500 it says syn_sent ... 


    Its a UDP connection, so you will not see more then syn_sent. 

    What dose the client log say?
  • 0 in reply to NimmdirKeks
    I went through the logs just now and I cant find anyhthing named client log or simular... ive watched the packet filter log in realtime and nothing is being dropped from my pc, so who knows.