Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 2391 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Net2Net IPSec thru NAT router working

Joe DeAngelo
I'd submitted several requests for help on this topic.  Unfortunately those who know don't say and those who advise did not know.  I have gotten it to work.  I've got an Astaro box located in my company's communication room with a fixed addressible external IP and another here at home sitting behind a DLink 713P wireless router.  I don't think it matters much which NAT router I use, what is important is that I'm running 3.2 on both boxes and using FQDN's as VPN ID's.  It is important that the NAT router know how to pass IPSec thru which dlink doc claims it does by default.  You guys who work for Astaro should post something like this in a FAQ.  Here's the layout:

1) Current hardware configuration:

Home:
ASL box(3.200) internal IP a.b.c.d on a.b.c.0/24
ASL box connected to DLink 713P as 192.168.0.5
Dlink internal IP address 192.168.0.1
No DMZ or port passthru on DLINK
DLink firmware level 2.57 build 3a
DLink external IP address j.k.l.m on Internet


Company box:
ASL box(3.200) internal IP w.x.y.z on w.x.y.0/24
ASL box external IP address q.r.s.t on Internet

2) Want IPSec tunnel:

left network = a.b.c.0/24
right network = w.x.y.0/24

3) ASL configs

Packet Filter on both boxes:
a.b.c.0/24 any w.x.y.0/24 allow
w.x.y.0/24 any a.b.c.0/24 allow

Home ASL config:

Local Keys
 VPN ID:         Hostname
 Hostname:       home.company.com
 RSA key length: 2048

Remote Keys
 Name:       CoRSA
 Key Type:   RSA
 Public Key: (local key from Company ASL)
 VPN ID:     FQDN
             Office.company.com

VPN
 Name:            Home2Com
 Type:            Standard
 IPSec policy:    BLOWFISH
 Local Endpoint:  192.168.0.5
 Remote Endpoint: q.r.s.t
 Local subnet:    a.b.c.0/24
 Remote subnet:   w.x.y.0/24
 Key:             CoRSA

Office ASL config:

Local Keys
 VPN ID:         Hostname
 Hostname:       Office.company.com
 RSA key length: 2048

Remote Keys
 Name:       HomeRSA
 Key Type:   RSA
 Public Key: (local key from Home ASL)
 VPN ID:     FQDN
             home.company.com

VPN
 Name:            Home2Com
 Type:            Standard
 IPSec policy:    BLOWFISH
 Local Endpoint:  q.r.s.t
 Remote Endpoint: j.k.l.m
 Local subnet:    w.x.y.0/24
 Remote subnet:   a.b.c.0/24
 Key:             HomeRSA


This thread was automatically locked due to age.
Parents
  • 0
    I also have a dlink router on my home network...however my setup differs slighty from yours in two ways...

    first...it doesn't work

    second..instead of a setting up a second asl(which it looks like i am goin to have to do)instead i am ussing the ssh client

    so my setup looks like this

    ssh client-->dlink router--->modem--->internet

    and it wont work...i am also using the latest firware etc...and my device also says that it handles ipsec passthru...can u figure it out??

    PS I have tried the same setup without the router...direct connect to the modem and it works just fine

    asher
     
     [size="1"][ 05 July 2002, 17:22: Message edited by: asher ][/size]
  • 0 in reply to asher
    Not much to go on here.  Is the ssh client the only internet software that is not working?  If not, then maybe you need to make sure that the gateway on that PC is set to the dlink.  I've used the ssh client of TeraTerm through the dlink with no problems at all.  What are you using?  Does it have it's own gateway spec?
  • 0 in reply to Joe DeAngelo
    let me understand you....u have established an ipsec connection using the ssh client behind a dlink nat router to an astaro server?

    and if so what is your setup?
     
     [size="1"][ 08 July 2002, 22:31: Message edited by: asher ][/size]
  • 0 in reply to Joe DeAngelo
    okay....i am using ssh sentinel to establish an ipsec connetion to my astaro box at a remote location.  

    The location where sentinel is located has a local peer to peer lan and uses a dlink nat router to share the net. I do not want to connect to ssh. I want to create an ipsec connection from one user on the home netwrok behin the nat router to my astaro firewall at the main office location.

    This does not work behind a nat device.

    that is my problem

    I dont think there is any solution to this issue...i have read many posts and it seems that nat simply doesnt play with ipsec period

    unless u have nat-t which 
    1) is not yet directly supported
    2) buy an expensive cisco router
    3) connect the ssh client directly to the net...and bypass the nat router 

    none of these is a good solution for me

    also you dont document what changes you made on the dlink to allow ipsec packets to passthru it?

    Look...whether i am trying to create a lan to lan conenction using two asl boxs or the sentinel client and an asl box either way it should be the same..thus i dont really understand how you got the dlink to pass the ipsec packets while my dlink wont pass the same packets only i am using the sentinel client?

    I is my understanding that basically the way nat works it screws up the packets and thus ipsec is a problem...how u got your to work is still a mystery to me
     
     [size="1"][ 09 July 2002, 17:43: Message edited by: asher ][/size]
  • 0 in reply to asher
    No Asher, I think you misconstrue my reply.  The original thread was intended to document how I got a LAN to LAN connection working using IPSec on two ASL boxes, one of which lived behind a Dlink router.  Given the difficulty I had doing this and the apparent difficulty many other users had, I though it would be useful to document my results.

    You mentioned that you were unable to do the same and that you tried using an ssh client through a dlink then over the internet to connect to the ssh daemon on an ASL box.  I have gotten ssh behind the same dlink to connect over an internet connection to an ssh server, but not one on an ASL box.  I don't think it would be a problem, however, once I'd opened the permissions on the ASL box to permit ssh access from eth1.  Did you allow your ssh server to handle requests from the Internet?  That might be your immediate problem.

    Why are you using ssh?  If you want a LAN to LAN connection, you need to get IPSec working.  If you only need to connect a single host to a LAN, then you could try the roadwarrior level connection.
  • 0 in reply to asher
    I'll try to help you point by point. 

    First, I don't understand how you can establish an ipsec conection via ssh, but there is a lot I don't understand about ssh.  I'm only familiar with the telnet style usage and that works just fine behind a router like the linksys or the dlink.

    Next, I believe you are trying to connect a single host computer via ipsec to your remote business LAN.  My configuration made a LAN to LAN connection, not a host to LAN connection, but I believe some of the same issues might apply.  Specifically, when ipsec establishes a connection, it attempts to create a session or user ID.  I gather that the default ID is the IP address.  In order to make my LAN to LAN connection work, I had to opt for a domain name to be used as a user ID.  This domain name is not verified in any way and is just a tag.  This subtrefuge was needed because the dlink ( or linksys) router performs NAT which substitutes a new IP address for the real one.  This was the nut of the problem for me and might be for you.  See if your IPSec client software permits you to specify a fully qualified domain name as the user ID.

    I've never successfully used any ipsec client software.  I had tried to use the windows 2000 client but that did not appear to have an override facility for the IP address user id.  PGPNet just trashed my windows machine and I had to remove it.  I've since encountered other IPsec client software packages but haven't had time to play with them.

    ANyway, good luck....
  • 0 in reply to Joe DeAngelo
    I forgot to mention that I made no change to the dlink to get any of this working.  By default, if the dlink sees an IPSec request emanating from a host it is protecting, it remembers to route all such IPSec traffic to that box.
  • 0 in reply to Joe DeAngelo
    One more addenda....

    I just got an email from Microsoft.  They seem to have a "new" ipsec client available.  I know nothing about it's potential usability but it does mention NAT traversal which may be what it getting you in trouble.  For more info look at:

    http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/l2tpclient.asp
Reply Children
No Data