Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 9826 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Host to Net VPN (help!)

paulmona
I'm following the howto http://docs.astaro.org/vpn_howto.htm  on setting up a "Host to Net" VPN using PGPNet as the client.  My connection between PGPNet and ASL seems to work as PGPNet shows me a green light suggesting the network is up however I can't ping anything in the network at the other end of the connection.  PGPNet gives me the following error:

06/05/2001 9:59:26 PM IKE 192.168.0.10 IKE SA Created
06/05/2001 9:59:27 PM IKE 192.168.0.10 IPsec SA Created
06/05/2001 9:59:27 PM IKE 192.168.0.10 Unequal Payload Lengths notification sent
06/05/2001 9:59:27 PM Service 192.168.0.10 Unable to establish Security Association

Here is how I have it configured:

ASL Outside Interface: 192.168.0.10/24
ASL Inside Interface: 192.168.1.10/24
Client IP: 192.168.0.4/24
Client PGPNet Interface IP: 192.168.1.4/24

ASL VPN Configuration:

left or right: left
Perfect Secret Forwarding: Yes
Secure Ass: ike
Auth Method: secret
Secret: blahblah

Local Interface: Internet (192.168.0.10/24)
Local Subnet: Internal (192.168.1.0/24)

Remote IP: graphite (192.168.0.4/24)
Remote Subnet: -

Do I have to configure the PGPNet virtual Interface with an actual IP address?  I've tried both with and without.  192.168.1.4 when tested with.  I've also tried with and without the PGPNet virtual adapter.

Anyone have any tips?

BTW, Astaro rocks!

Thanks.

Paul


This thread was automatically locked due to age.
Parents
  • 0
    Same thing here, any sugestions??  [:S]
  • 0 in reply to Raúl Millán
    Hi guys, 

    No you don't have to configure the PGPNet virtual Interface with an ip address, just use the default settings.
    Except of this your vpn configuration looks fine.
    Did you adjust the pgpnet setting as shown in the HowTo?

    On some older PGPnet version the perfect forwarding secrecy is not 100% correct.

    If it doesn't work, try do disable this on both sides, but according to IKE SA Created, this is not the problem.

    All packets traveling through the vpn tunnel have to pass the packetfilter afterwords.

    Did you add a packet filter rule,
    192.168.0.4 Any 192.168.1.0/24 Accept ?

    What version of PGPnet are you using ?

    Greetings Gert
  • 0 in reply to paulmona
    Hi guys, 

    here a short one, 
    if wan't to use ping, you have to enable it using a packetfilter rule entry or use activate WebAdmin/Packet Filter/Icmp ICMP on firewall.

    than this should work.

    gert
  • 0 in reply to Raúl Millán
    I'm having much the same problem on the 20010516 version of the Cobalt RaQ ASL software - I can get a ping to the box, the internal card replies, and I can go through https to the webadmin..  but beyond that, PGP responds on a ping with (on each response):

    IPSec  Incoming packet not secured - discarding  [:)]

    Lee

    Any help or can anyone help me   [:)]   [:)]   [:)]
  • 0 in reply to Lee
    Hi ,

    what´s about the any/any/allow question ?
      [:S] 
    If I do that, I don´t need a firewall, right ?

    Greetings

    Martin

    [ 21 May 2001: Message edited by: mwesterm ]
  • 0 in reply to mwesterm
    >Is opening any  local lan insecure.
    >Theoreticaly well maybe, practily i don't >think so.
    >
    >In the theory if a packet with the correct >source and destination address and service >it will be passed along.
    >If you use official ip addresses, than yes, >this would be highly insecure.
    >
    >If you use private ip addresses it is not >that bad.
    >Private IP adresses are not routed through >the internet.
    >
    >If a hacker has control over all hosts >between you and him, maybe he than can add >additional routes that this private subnet >is routed to the firewall. These packets >than would be accepted from the firewall.
    >
    >I personaly think this is acceptable.

    Actually, wouldn't the hacker only need control of the border router closest to the ASL?

    I still a bit fuzzy as to why we need

    Any Any Private_Network Allow

    or even

    Remote_Client Any Private_Network Allow

    for VPN to work in the first place. By definition, doesn't this defeat part of the purpose a VPN?

    -AlexK

    [ 12 June 2001: Message edited by: AlexK ]
  • 0 in reply to AlexK_01
    Hi AlexK, 

    yes i have to admit, that the Any, Any, Private Subnet, Allow is no real solution for dynamic roadwarriors.

    But I see no security risk if you use VPN with static ips at all, because even if a hacker may in control of the border gateway and is prossible to send packets which would match the packetfilter rule 'Remote_Client Any Private_Network Allow' the packets wouldn't be accepted from the firewall, because they are not encrypted, and all reply packets would also be encryptet and due to that, useless for the hacker, if he has not a Mega Cluster to bruteforce the keys  [;)]

    The purpose of VPN is not to replace a packetfilter, the purpose of VPN is to authenticate and securly transmit IP packets.

    kind regards 

    gert
  • 0 in reply to Gert Hansen
    I have been able to set up VPN successfully using PGPnet.

    Unfortunately, I have not been able to find a Proxy/Firewall that will run on Win98 that allows the tunnel from a client. There are several of us in our company that have home networks and it is important to us that we are able to complete a VPN connection through a proxy server.

    We are limited to Win98 because the internal cable modem card we must use only has drivers for Win98. This will most likely change in the fall but until then we are stuck.

    Do you have any suggestions?
  • 0 in reply to nospamsam
    Gert-

    Unfortunately, the Dynamic Road Warrior is the situation I am in.   [:(] 

    The other thing I am trying to do is have the client's VPN interface on their machine assigned an address from the Private Network (Internal net) block. (a la Virtual IP setting in SSH Sentinel).  Can this be done with the ASL?

    Best Regards,

    AlexK
  • 0 in reply to AlexK_01
    Does anyone have this working with PGPFreeware 7.03 or W2K IPSEC security policy? Thanks. I am test driving this, but no cigar as of yet.
  • 0 in reply to David Garcia Jr.
    Paul,

    Did you get answers for your questions below?

    I am about to attempt VPN pass through from a host in our private subnet to a Cisco VPN border router.

    TIA,


    Tom
    --------------
    Thomas R. Scott, MCSE
    TomRScott@On-SiteComputer.com
    360-650-1079


     
    quote:
    Originally posted by paulmona:
    Don't ask how but I did get it to finally work.  Weird.  

    However I agree with you Raúl it seems strange to me to have to put an "any/any" type of rule on the firewall to permit the VPN traffic.  I know that with the cisco 3000 VPN consentrators that I've worked with all we had to do is open port 10000 (UDP) on the firewall and direct it to the concentrator's IP address port 10000. Isn't the s/wan that Astaro uses capable of the same thing?  I.e. all network traffic is sent through udp port X and the VPN end point breaks that apart into it's true network portions? This way I can setup a packet filter rule in Astaro to forward all port 10000 requests to the Astaro internal interface which is the VPN end point.  Then my rule becomes any:10000/internal:10000 which is a little more specific.

    However I think what I am describing is PPTP which isn't quite available in Astaro yet...

    Paul
Reply
  • 0 in reply to David Garcia Jr.
    Paul,

    Did you get answers for your questions below?

    I am about to attempt VPN pass through from a host in our private subnet to a Cisco VPN border router.

    TIA,


    Tom
    --------------
    Thomas R. Scott, MCSE
    TomRScott@On-SiteComputer.com
    360-650-1079


     
    quote:
    Originally posted by paulmona:
    Don't ask how but I did get it to finally work.  Weird.  

    However I agree with you Raúl it seems strange to me to have to put an "any/any" type of rule on the firewall to permit the VPN traffic.  I know that with the cisco 3000 VPN consentrators that I've worked with all we had to do is open port 10000 (UDP) on the firewall and direct it to the concentrator's IP address port 10000. Isn't the s/wan that Astaro uses capable of the same thing?  I.e. all network traffic is sent through udp port X and the VPN end point breaks that apart into it's true network portions? This way I can setup a packet filter rule in Astaro to forward all port 10000 requests to the Astaro internal interface which is the VPN end point.  Then my rule becomes any:10000/internal:10000 which is a little more specific.

    However I think what I am describing is PPTP which isn't quite available in Astaro yet...

    Paul
Children
No Data
Unfiltered HTML