Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 2 subscribers
  • Views 726 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Nortel VPN needs NAT for "banner text"

fortress4
I am trying to configure my ASG 7.510 to allow me to connect to a corporate VPN using the Nortel VPN client (v10.04.108). When I attempt to connect I get a error part way through the connection process that states: "The banner message from the VPN Router was not recieved, or the user didn't acknowledge the banner." 

From researching on the web I see that I need to setup NAT rules to allow the IPSEC traffic through the ASG to allow this "banner text" to come through.  When I  Googled "nortel VPN banner error" it seems I am not the only one having this issue. 

If anyone has experience with setting up NAT on thier ASG for the Nortel VPN client and diagram out how they should be set that would be great.

I have tried adding so many rules/filters I am starting to think I am doing more damage to my ASG config that good... So any help would be greatly appreciated. 

In the past I have added NAT rules to my ASG for other services (ie. XBOX live, etc.) but this one has stumped me. 

Thanks!

----------------------------------------------
I have tried many combinations but these are the current setting I have right now:

Service Definitions:

Name: IPsec - AH
Type Of Definition: IP
Protocol number: 51

Name: IPsec - ESP
Type Of Definition: IP
Protocol number: 50

Name: IPsec - IKE
Type Of Definition: UDP
Destination Port: 500
Source Port: 1:65535

Name: IPsec - NAT-T
Type Of Definition: UDP
Destination Port: 4500
Source Port: 1:65535

Name: Nortel Banner 
Type Of Definition: UDP
Destination Port: 10001
Source Port: 1:65535

Packet Filters:

Source: Internal (Network)
Service: Nortel VPN Group (IPsec-AH, IPsec-ESP, IPsec-IKE, IPsec-NAT-T, Nortel Banner)
Destination: [VPN Destination IP]
Action: Allow

NAT Translations:

Name: Nortel VPN 1
Traffic Source: Any
Traffic Service: IPsec - AH
Traffic Destination: External (WAN) (Address)
NAT mode: DNAT
Destination: [my-laptop]
Destination Service: IPsec - AH
Automatic Packet Filter rules: checked

Name: Nortel VPN 2
Traffic Source: Any
Traffic Service: IPsec - NAT-T
Traffic Destination: External (WAN) (Address)
NAT mode: DNAT
Destination: [my-laptop]
Destination Service: IPsec - NAT-T
Automatic Packet Filter rules: checked

Name: Nortel VPN 3
Traffic Source: Any
Traffic Service: IPsec - IKE
Traffic Destination: External (WAN) (Address)
NAT mode: DNAT
Destination: [my-laptop]
Destination Service: IPsec - IKE
Automatic Packet Filter rules: checked

Name: Nortel VPN 4
Traffic Source: Any
Traffic Service: IPsec - ESP
Traffic Destination: External (WAN) (Address)
NAT mode: DNAT
Destination: [my-laptop]
Destination Service: IPsec - ESP
Automatic Packet Filter rules: checked

Name: Nortel VPN 5
Traffic Source: Any
Traffic Service: Nortel Banner 
Traffic Destination: External (WAN) (Address)
NAT mode: DNAT
Destination: [my-laptop]
Destination Service: Nortel Banner 
Automatic Packet Filter rules: checked


This thread was automatically locked due to age.
Parents
  • 0
    Is the External IP of the Astaro a public IP?  If not, then you're double-NATting, and I don't think that can work with IPsec.

    In any case, disable all of your Astaro NAT rules above.  They may not have any effect, but, if they do, they "break" IPsec.  Just FYI, in the future, if you have a group of services that you want to DNAT to a specific IP, you can put the group into 'Traffic Service' and leave the 'Destination Service' field empty.

    Your packet filter rule should do the trick.  Are you sure you don't have a firewall on your client machine?   Are you sure that you have NAT-T selected in your Contivity client configuration?  If you're still having problems, check the Packet Filter and the Intrusion Prevention logs.

    Cheers - Bob
    PS I'm not familiar with the Contivity client, so I'm not sure what part the Banner plays.  I guess that it's a response from the Nortel from an IKE request from your client, but???
Reply
  • 0
    Is the External IP of the Astaro a public IP?  If not, then you're double-NATting, and I don't think that can work with IPsec.

    In any case, disable all of your Astaro NAT rules above.  They may not have any effect, but, if they do, they "break" IPsec.  Just FYI, in the future, if you have a group of services that you want to DNAT to a specific IP, you can put the group into 'Traffic Service' and leave the 'Destination Service' field empty.

    Your packet filter rule should do the trick.  Are you sure you don't have a firewall on your client machine?   Are you sure that you have NAT-T selected in your Contivity client configuration?  If you're still having problems, check the Packet Filter and the Intrusion Prevention logs.

    Cheers - Bob
    PS I'm not familiar with the Contivity client, so I'm not sure what part the Banner plays.  I guess that it's a response from the Nortel from an IKE request from your client, but???
Children
No Data