Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 28688 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing ssl over ipsec vpn tunnel

reinhart
Hey Guys,

I have the following problem:

My internet provider blocks 443 incoming.
I wanna use ms exchange pushmail over the internet.
My collega / mate also have a asg at home and hes able to receive 443 incoming packets.

The thing i wanna do: i wanne use his connection to route ssl over a ipsectunnel to my exchange box. I did the following.

- Created a ipsec tunnel between our 2 ASG, tunnel is up and running with the external interface as local endpoint. Autopacketfiltering is on.
- On my mates asg i created a nat rule:

From Any TO External adress service SSL  DNAT 'my exchange server' 

I tested it ou but it does not work. Is it possible to makes this work?

Many thanks in advance, sorry for my poor english

Reinhart


This thread was automatically locked due to age.
Parents
  • 0
    Reinhart, "it does not work" is hard to interpret! [;)]

    What things can you do through the IPsec tunnel to prove that it works?  Can you access your OWA/OMA internal IP from inside your friend's network? etc.

    Cheers - Bob
    PS Du kannst auf Deutsch, ou bien en francais, si tu preferes.
Reply
  • 0
    Reinhart, "it does not work" is hard to interpret! [;)]

    What things can you do through the IPsec tunnel to prove that it works?  Can you access your OWA/OMA internal IP from inside your friend's network? etc.

    Cheers - Bob
    PS Du kannst auf Deutsch, ou bien en francais, si tu preferes.
Children
  • 0 in reply to BAlfson
    Hey, thanks for the reply.
    I can reach it from my frends internal network.

    The problem only exists when i try it over the wan.

    Reinhart
  • 0 in reply to reinhart
    OK, it sounds like the VPN definitions need some attention.  Please post pictures of the Remote Gateway and IPsec Connection for both Astaros.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hey, 

    You can find my ss in attachment.

    Many Thanks

    Reinhart
  • 0 in reply to reinhart
    That's what I had guessed.  In both units, you need to define a host with the IP of your OWA/OMA server.  On your friend's side, include this host in 'Local Networks' of the 'IPsec Connection', and on your side, include it in 'Remote Networks' of the 'Remote Gateway' definition.

    This is the general "trick" to creating a path through a VPN tunnel to a third location.  In the middle site, the VPN must accept traffic for the third site.  In the first site, the VPN needs to know to run traffic for the third site through the tunnel to the middle site.

    Cheers - Bob
    PS I assume that you have the approriate packet filter rule set on the GDB site where 'Auto packet filter' is not checked.
  • 0 in reply to BAlfson
    Hi, 

    Thanks for this fast reply.
    I made the changes but its not working atm. I guess i made a fault in my nat-rule. I made a ss of it and attached it on this post.

    this is what i see at the packetfilter log in gdb site:

    19:14:21 Default DROP TCP 81.246.32.58 : 57247 
     → 213.219.149.92 : 443 
     [SYN] len=48 ttl=119 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:00:00:00:00:00 
     

    Thanks alot

    Reinhart
  • 0 in reply to reinhart
    Your friend might not appreciate you stealing all of his ability to use port 443, so you might want to put an Additional Address to the External interface.  Leave the Destination Service field empty.  I assume you can ping RDB-Mail2 with 'Support >> Tools' from your friend's Astaro.

    Even with a correct link from your mobile device, you won't get the "push" from your OWA/OMA server unless you make some changes in your Exchange configuration.  In other words, you've configured a way to start a conversation with OMA, but you don't have a way for OMA to start one with you.

    But now that I think about this, it doesn't make sense that you're having this problem.  I can't imagine that any ISP anywhere would block HTTPS traffic - that would prevent all secure internet business transactions - it doesn't make sense.

    My guess is that you don't need this Rube Goldbergian construction with your friend's Astaro.  I suspect that you just need to do some things differently with your Astaro and your Exchange; and there are some tricks to getting it going.  Search here on OMA and you'll find threads that should help you.

    Cheers - Bob
  • 0 in reply to BAlfson
    Well my isp blocks port 80 and 443 incoming, so i cant setup my pushmail on a normal way :s
  • 0 in reply to reinhart
    Have you requested that they open them for you so you can pick up your email?  Have you already made sure you can connect with OMA when you VPN directly from your portable device?

    Cheers - Bob
  • 0 in reply to BAlfson
    I think I see a problem here. The vpn tunnel is setup between your two local internal networks, if I'm reading that right. So in this case only traffic from those two networks will go over the tunnel, the https traffic you natting will not be going over the tunnel since the source is external. In order for the traffic to go over the tunnel you will need to create a SNAT, so it looks like the traffic is coming from your friends local network.
  • 0 in reply to dilandau
    Hey, 

    Can you pls advice me with the settings of the snat?

    Thanks

    Reinhart