Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1745 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

The final VPN trial

Walter Kitzinger
OK, this is the setup:

4 computers, 2 of them are ASL.

Client 1 is 192.168.1.104 (Win NT 4)

ASL 1 is 192.168.1.250 and 192.168.5.1
gateway 192.168.5.2

connected through hub

ASL 2 is 192.168.5.2 and 192.168.3.1
gateway 192.168.5.1

Client 2 is 192.168.3.2 (Win 98)

All netmasks are 255.255.255.0.

I finally got a VPN connection. When I tried this with real internet adresses I kept locking myself out from the remote ASL, that's why I'm trying local hardware.

The VPN connection is Any-External  other External-Any.

In rules on both ASLs I put Any-Any-Any.

I can ping 192.168.5.1 from 192.168.1.104, but no further.

I can ping 192.168.5.2 from 192.168.3.2, but no further.

This is to supposed to be a Net to Net setup.

As far as I understand, this should work, but it doesn't. Any hints ?

Cheers,

Walter


This thread was automatically locked due to age.
  • 0
    Hi walther, 

    your configuration looks good, 
    is the tunnel up?

    Plz show me vpn routes and vpn status of both machines.

    thx gert
  • 0 in reply to Gert Hansen
    Hello Gert,

    this is what it looks like. I changed the external adresses, I was testing if a private external adress stopped it from working, but it does not make any difference. I hope you can see something I don't. I assume I do not have to add routes myself.

      VPN routing     
      
       109632     0.0.0.0/0          -> 0.0.0.0/0          => tun0x1002@223.223.223.2

     
      

      VPN Status     
      
       000 interface ipsec0/eth0 192.168.1.250
    000 interface ipsec1/eth1 223.223.223.1
    000 interface ipsec2/eth2 222.222.222.222
    000  
    000 "vpntest_1": 0.0.0.0/0===223.223.223.1...223.223.223.2===0.0.0.0/0
    000 "vpntest_1":   ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 600s; rekey_fuzz: 100%; keyingtries: 0
    000 "vpntest_1":   policy: PSK+ENCRYPT+TUNNEL; interface: eth1; erouted
    000 "vpntest_1":   newest ISAKMP SA: #849; newest IPsec SA: #768; eroute owner: #768
    000  
    000 #921: "vpntest_1" STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 39s
    000 #920: "vpntest_1" STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 32s
    000 #849: "vpntest_1" STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 77s; newest ISAKMP
    000 #768: "vpntest_1" STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 23214s; newest IPSEC; eroute owner
    000 #768: "vpntest_1" esp.2c1434ea@223.223.223.2 esp.b29676c3@223.223.223.1 tun.1002@223.223.223.2 tun.1001@223.223.223.1

     
      
    -----------------------------------------------------------------------------------------------------------

      VPN routing  

    108396     0.0.0.0/0          -> 0.0.0.0/0          => tun0x100a@223.223.223.1

     
      

      VPN Status     
      
       000 interface ipsec0/eth0 192.168.3.1
    000 interface ipsec1/eth1 223.223.223.2
    000  
    000 "valle_1": 0.0.0.0/0===223.223.223.2...223.223.223.1===0.0.0.0/0
    000 "valle_1":   ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 600s; rekey_fuzz: 100%; keyingtries: 0
    000 "valle_1":   policy: PSK+ENCRYPT+TUNNEL+PFS; interface: eth1; erouted
    000 "valle_1":   newest ISAKMP SA: #1133; newest IPsec SA: #1052; eroute owner: #1052
    000  
    000 #1133: "valle_1" STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 818s; newest ISAKMP
    000 #1052: "valle_1" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 22517s; newest IPSEC; eroute owner
    000 #1052: "valle_1" esp.b29676c3@223.223.223.1 esp.2c1434ea@223.223.223.2 tun.100a@223.223.223.1 tun.1009@223.223.223.2

     
    I am in the process of becoming an Astaro reseller and I really want to know what I'm doing. :-)

    Best regards,

    Walter
  • 0 in reply to Walter Kitzinger
    Hm, things go a lot easier if one has the correct gateway at the clients. Gateway should of course be the internal interface at the firewall. I have a working connection now, I connected the W98 client to a shared disk at the NT4 client. One thing, though, it looks like I can connect only to clients that have their gateway to the ASL that has the VPN tunnel. I assume this is natural behavior, but it gives me some problems when I use several ASLs. Now I need to find how to make the remote network visible at the client. I believe there are some other posts covering this.

    Cheers,

    Walter
Unfiltered HTML