Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1808 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Masq

baude
I'm looking for a firewall solution that will handle the following case.  Can someone confirm or quash whether astaro can do this?

I want to have a client behind my firewall (that my firewal masquerades) be able to initiate an ipsec vpn connection through the firewall to a vpn server on the internet.  Like so:

win2kclient--->Firewall--->Internet--->VPN server
inititates
connection


This thread was automatically locked due to age.
Parents
  • 0
    On your astaro you need to set two filters and subsequent rules. The first filter is source udp 500 and destination udp 500, the second is an SPI with a range of 254:65535.  Apply the filters to two rules for your masqueraded clients and you should have no problems accessing a IPSEC VPN.
  • 0 in reply to Tester100
    I am trying to get this to work as follows:

    PGPnet 7.1 (NAT) --> Astaro --> SonicWall VPN

    I can get this combination to work without the Astaro firewall and with the client running on a public IP. I am passing ESP and port 50 UDP as you suggest (if fact I tried it passing ALL traffic). But I suspect there may be a problem with running a VPN client behind NAT.

    Have you managed to get it to work with this type of configuration? Were there any tricks to diagnosing the problems. PGP's logs are a little bit unhelpful. Here is the end of the detailed log:

    
				                    
    
                
    
            
    
        	
    

		
		
		
		
	
    
	
    
		
    
			
		
    
	
    
	
    
		
						
				
				
				
				
				
		
		
    
			
		
    
	
    

    

    • 

	

  • 
	
    



	
		
	
	



    
	
    
		
    
							
					
    
		
    
			
													0
							
			
				
									
							
						
				
			
												
						in reply to Ari Maniatis
					
									
    
	
    

		
		
    
					
    baude:
    I think you have to use ESPoverUDP, but it is not implemented in ASL.

    Erik
    
				                    
    
                
    
            
    
        	
    

		
		
		
		
	
    
	
    
		
    
			
		
    
	
    
	
    
		
						
				
				
				
				
				
		
		
    
			
		
    
	
    

    

    • 

	




Reply



Children
	
    
	

  • 
	
    



	
		
	
	



    
	
    
		
    
							
					
    
		
    
			
													0
							
			
				
									
							
						
				
			
												
						in reply to jader_01
					
									
    
	
    

		
		
    
					
    Baude, to use IPSEC VPN Clients behind a firewall with a NATed address the firewall must allow UDP 500 as a source and destination.  And you must allow protocol 51 which is ESP, protocol 50 which is AH does not work with NAT.  Your ESP range on the Astaro box should be set to 254:65535.  Create a filter for UDP 500 both as source and destination and an ESP filter with a range of 254:65535.  In your rules allow your masqueraded clients to use the UDP filter and the ESP filter and they will see the VPN device on the public network.
    
				                    
    
                
    
            
    
        	
    

		
		
		
		
	
    
	
    
		
    
			
		
    
	
    
	
    
		
						
				
				
				
				
				
		
		
    
			
		
    
	
    

    

    • 

	


		
			








































			






















Unfiltered HTML