Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 14591 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cisco VPN outbound not working

Galantkid
Okay so I setup Astaro Home Firewall this week for myself at home. Everything is going well until I tried to connect to my employer over VPN. I am using Cisco VPN Client and it seems like the firewall is killing the connection from happening. I have allowed the VPN Protocols to go out but I am getting the following error from the VPN Client.. 

Secure VPN Connection terminated locally by client. Reason 414: Failed to establish TCP connection. 

SO even though I set the VPN protocols to be allowed on the packet filtering tab and everything is setup basically default on the Firewall still no dice. PPTP helper is enabled and I Have masquerading setup as default. A google search tells me it is firewall related just not sure how to setup Astaro correctly to let me connect. [:(]


This thread was automatically locked due to age.
  • 0
    Used Ciscos VPN Client for a long time trough an Astaro witout problems. But there i hat all ports open to the outside.

    Please open the packet filter live log while you try to connect. Maybe there is simply a missing port. Depends a bit how your VPN Client is configured.
  • 0
    I have allowed the VPN Protocols to go out

    As Whity suggests, this probably is not the case.  To get good, quick answers to questions, it's always helpful to provide detail.

    When I first started posting here, someone pointed me to: How To Ask Questions The Smart Way

    Cheers - Bob
  • 0 in reply to BAlfson
    According to this website [1156] Opening firewall ports for the Cisco VPN Client - Help Desk

    I needed to open the following ports
    To use the Cisco VPN Client, the following network ports must be opened in your firewall software:
    500 UDP
    4500 UDP
    10000 UDP

    I created a Network Service Definition for Cisco VPN on port 10000 UDP and 500 UDP and 4500 UDP are already defined in the Astaro. I then checked the VPN protocol group definition and made sure that 500 UDP and 4500 UDP where in there and they were, and I then added 10000 UDP. 

    Once I had the group definition set I created a packet filter rule that allowed the group definition of VPN Protocols going out and coming in. Theoretically that should of allowed me to be golden but it did not keeps giving me the error stated in my previous post. I will attempt an any any rule to the outside from my internal network and see if that works. 

    I opened the Packet Filter Live log but I do not see any connections going out or in on any other port than 4444 coming from my administrative computer.

    I guess no one else has had issue...
  • 0
    OK, so it looks like the Cisco implementation doesn't use ports 50/51.  And, apparently, you don't need to allow Kerberos on 88-TCP/UDP.  Are you sure your packet filter log doesn't show any of those blocked?

    I'm not that familiar with the Cisco client, but your error message indicates that it  seems to be set to communicate in TCP instead of UDP.  In that case, I guess you would need to open 10000 TCP instead of UDP, but I don't know that for a fact.

    Cheers - Bob
  • 0
    My Cisco VPN client has worked for so long I can't remember what I needed to get it working but what I have is my broadband router in bridge mode so it works as a transparent modem. My Astaro outside interface is consequently accessible by my VPN Concentrator - no double nat between my client and my Concentrator.
  • 0
    Actually I was looking at the wrong log, I saw what packets are being dropped. I just have to make sure I nail the right ports right now. If anyone has anymore suggestions or if someone sees this who remembers what they did to get it working I would greatly appreciate it.
  • 0
    As mentioned above, the following ports need to be allowed outbound:
    500 UDP
    4500 UDP
    10000 UDP

    I don't see any port 10000 traffic with my 4.8 client though.

    Barry
  • 0
    I've just installed wireshark and cisco vpn client 5.0.06.0160
    The first packet from the vpn client to my vpn concentrator is:
    1070 UDP to 62515 UDP
    There are further packets from 62515 UDP to 62515 UDP and 1079 UDP to 62515 UDP
  • 0
    OKay it ended up being a setting within the Cisco VPN Client itself. I had to modify the VPN client to use IPSEC over UDP instead of TCP. Whoever setup the connetions on the laptop has them setup for TCP. I allowed the IPSEC definition group which contained these ports outbound. 
    500 UDP
    4500 UDP

    Then I just modified that one setting as per someone who posted on Experts-Exchange in response to the Error 414 for the client and it worked perfectly.