Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 9832 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Host to Net VPN (help!)

paulmona
I'm following the howto http://docs.astaro.org/vpn_howto.htm  on setting up a "Host to Net" VPN using PGPNet as the client.  My connection between PGPNet and ASL seems to work as PGPNet shows me a green light suggesting the network is up however I can't ping anything in the network at the other end of the connection.  PGPNet gives me the following error:

06/05/2001 9:59:26 PM IKE 192.168.0.10 IKE SA Created
06/05/2001 9:59:27 PM IKE 192.168.0.10 IPsec SA Created
06/05/2001 9:59:27 PM IKE 192.168.0.10 Unequal Payload Lengths notification sent
06/05/2001 9:59:27 PM Service 192.168.0.10 Unable to establish Security Association

Here is how I have it configured:

ASL Outside Interface: 192.168.0.10/24
ASL Inside Interface: 192.168.1.10/24
Client IP: 192.168.0.4/24
Client PGPNet Interface IP: 192.168.1.4/24

ASL VPN Configuration:

left or right: left
Perfect Secret Forwarding: Yes
Secure Ass: ike
Auth Method: secret
Secret: blahblah

Local Interface: Internet (192.168.0.10/24)
Local Subnet: Internal (192.168.1.0/24)

Remote IP: graphite (192.168.0.4/24)
Remote Subnet: -

Do I have to configure the PGPNet virtual Interface with an actual IP address?  I've tried both with and without.  192.168.1.4 when tested with.  I've also tried with and without the PGPNet virtual adapter.

Anyone have any tips?

BTW, Astaro rocks!

Thanks.

Paul


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to Raúl Millán
    Hi guys, 

    No you don't have to configure the PGPNet virtual Interface with an ip address, just use the default settings.
    Except of this your vpn configuration looks fine.
    Did you adjust the pgpnet setting as shown in the HowTo?

    On some older PGPnet version the perfect forwarding secrecy is not 100% correct.

    If it doesn't work, try do disable this on both sides, but according to IKE SA Created, this is not the problem.

    All packets traveling through the vpn tunnel have to pass the packetfilter afterwords.

    Did you add a packet filter rule,
    192.168.0.4 Any 192.168.1.0/24 Accept ?

    What version of PGPnet are you using ?

    Greetings Gert
  • 0 in reply to Gert Hansen
    Well now I tried using a Dial-Up account, and the same thing happens, I get a green light from PGPNet (7.0.4 eval), the status window shows my ping packets going thru the tunnel, but they never come back; I can't ping anything on the local net.  I've check the PGPNet options three times now, everything is exactly as the vpn-howto.

    One silly question, if I'm connecting thru dial-up to the Internet, do I have to open up the rules from any net to the local lan, and viceversa? wouldn't this make ASL vulnerable?  [;)] 

    Thanks for your posts, this is kind of urgent (my client is a Bank), I'll get more details about my connection in my next post.

    Regards
  • 0 in reply to Gert Hansen
    Ok, here is the Setup

    Client: WinME, using PGP 7.0.4 (Eval), connected to the Internet thru a local Dial-Up ISP (dynamic IP)

    ASL:  External Nic. 200.46.xxx.xxx, Internal LAN 192.168.0.xxx

    VPN: Exactly as the VPN How-To "Host to NET: PGPnet 7.0.4 (dynamic IP)  Astaro Security Linux 1.8 using Pre Shared Keys (PSK)"

    Question 1:  In the how-to, it says, that the following Packet Filter Rules need to be enabled:

    Any            Any  DMZ Network    Allow
    DMZ Network    Any  Any            Allow

    In my case you should replace "DMZ Network" for "Internal LAN"

    Why do these rules have to exists if I'm going to stablish a SECURE VPN conection?  In other words I have to tell ASL to allow any connection from anyone on the Internet, just to get a VPN conection?

    Question 2:  I got the VPN connection up yesterday, but couldn't pìng to anywhere on my local LAN.  Why? I would have to try what you said in your previous post, but that's in question No. 3

    Question No. 3:  I was going to try the setup from your previous post, but couldn't because today ASL refuses to ping outside it's own NICs.  Again Wyh?  All I get is a "Operation Not Permitted" answer from the ping command.

    I'm about to loose my first sale of ASL (unlimited by the way)because of this.  If I can't make this work then I'll never be able to sell this to anybody, and it's not like it's a cheap firewall.

    I'm confident that the firewall is very capable, but we should really work on the documentation.

    I'll appreciate any help I can get on this.

    Regards,

    [ 09 May 2001: Message edited by: Raúl Millán ]
  • 0 in reply to Raúl Millán
    Don't ask how but I did get it to finally work.  Weird.  

    However I agree with you Raúl it seems strange to me to have to put an "any/any" type of rule on the firewall to permit the VPN traffic.  I know that with the cisco 3000 VPN consentrators that I've worked with all we had to do is open port 10000 (UDP) on the firewall and direct it to the concentrator's IP address port 10000. Isn't the s/wan that Astaro uses capable of the same thing?  I.e. all network traffic is sent through udp port X and the VPN end point breaks that apart into it's true network portions? This way I can setup a packet filter rule in Astaro to forward all port 10000 requests to the Astaro internal interface which is the VPN end point.  Then my rule becomes any:10000/internal:10000 which is a little more specific.

    However I think what I am describing is PPTP which isn't quite available in Astaro yet...

    Paul
  • 0 in reply to Raúl Millán
    Hi Raul, 

    well this sounds like a routing problem.
    You have to make sure that the ping reply is routed to the vpn gateway. 

    The easiest way is to make sure that the hosts in the local-net have defined their default gateway to be the internal interface of the vpn-gateway.

    Is opening any  local lan insecure.
    Theoreticaly well maybe, practily i don't think so.

    In the theory if a packet with the correct source and destination address and service it will be passed along.
    If you use official ip addresses, than yes, this would be highly insecure.

    If you use private ip addresses it is not that bad.
    Private IP adresses are not routed through the internet.

    If a hacker has control over all hosts between you and him, maybe he than can add additional routes that this private subnet is routed to the firewall. These packets than would be accepted from the firewall.

    I personaly think this is acceptable.

    Are you using dynamic ip addresses or static ?

    Waiting for the details.

    cheers gert
  • 0 in reply to paulmona
    Hi guys, 

    here a short one, 
    if wan't to use ping, you have to enable it using a packetfilter rule entry or use activate WebAdmin/Packet Filter/Icmp ICMP on firewall.

    than this should work.

    gert
  • 0 in reply to Raúl Millán
    I'm having much the same problem on the 20010516 version of the Cobalt RaQ ASL software - I can get a ping to the box, the internal card replies, and I can go through https to the webadmin..  but beyond that, PGP responds on a ping with (on each response):

    IPSec  Incoming packet not secured - discarding  [:)]

    Lee

    Any help or can anyone help me   [:)]   [:)]   [:)]
  • 0 in reply to Lee
    Hi ,

    what´s about the any/any/allow question ?
      [:S] 
    If I do that, I don´t need a firewall, right ?

    Greetings

    Martin

    [ 21 May 2001: Message edited by: mwesterm ]
  • 0 in reply to mwesterm
    >Is opening any  local lan insecure.
    >Theoreticaly well maybe, practily i don't >think so.
    >
    >In the theory if a packet with the correct >source and destination address and service >it will be passed along.
    >If you use official ip addresses, than yes, >this would be highly insecure.
    >
    >If you use private ip addresses it is not >that bad.
    >Private IP adresses are not routed through >the internet.
    >
    >If a hacker has control over all hosts >between you and him, maybe he than can add >additional routes that this private subnet >is routed to the firewall. These packets >than would be accepted from the firewall.
    >
    >I personaly think this is acceptable.

    Actually, wouldn't the hacker only need control of the border router closest to the ASL?

    I still a bit fuzzy as to why we need

    Any Any Private_Network Allow

    or even

    Remote_Client Any Private_Network Allow

    for VPN to work in the first place. By definition, doesn't this defeat part of the purpose a VPN?

    -AlexK

    [ 12 June 2001: Message edited by: AlexK ]
Unfiltered HTML