Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 1 subscriber
  • Views 8287 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

using SSH and ASl 3.2

oliver.desch
Dear Astaro Users,

due to an increasing number of support requests
related to the SSH client and a missing VPN howto,
we apologize for that, I'll try to explain  in
a short form how to set it up.

I assume that most users want to use X.509

On the firewall:
1. Create a signing CA in IPSEC/CA MANAGEMENT
2. Create a firewall CSR (Certificate Signing Request) Identifier should be the IP address, because it is static.
and a user CSR, Identifier here could be the 
email address.
3. checkmark the firewall CSR and choose "issue cert from CSR"
4. checkmark the users CSR an do the same
5. checkmark the users certificate and select "export as PKCS12"
6. goto LOCALKEYS and select the firewalls certificate
7. goto IPSECCONNECTIONS configure your connection,
make sure that the type is ROADWARRIOR and that
you know exactly the parameters of your choosen
policy.

SSH Sentinel:

(please be merciful, I write that from memory)

1. is to import the users PKCS12 certificate, 
choose the TAB Key Management, right click on 
host keys, import certificate. Select your 
exported user certificate. 
The PKCS12 format contains all needed information
as well as the verification CA, so there is no
need to export the firewalls signing CA itself!

Very important: Click on "apply" (hopefully the 
button is named like that in the English 
version :-)) I am sure you know what I mean!

2. Go Back to the configuration Tab and configure
your connection using the new installed certificate.
3. Select properties->the first settings button and
make sure that you exactly use the same params, as
configured in your used Astaro policy.
4. Select the TAB "Advanced" and click on the
first settings button and again use the same params
used in the Astaro policy.
5. Apply all changes.
6. Run diagnostics

If it is succesfull note that
the firewall doesn't interpret informational messages
send by the SSH client, so the fireall will have after
the diagnostic a valid ipsec connection.

To enable the connection, do a right click on the
SSH icon in the icon tray an select "select VPN", select
your VPN connection and, if the IPSEC monitor was
opened before, you can see after a successful authentication
the activated tunnel.

The fireall itself sets automatically packet flters
to allow ANY ACCESS to the network to which the
Security Association (SA) belongs to.

So far for now!

read you
o|iver
 
 [size="1"][ 18 June 2002, 14:11: Message edited by: oliver.desch ][/size]


This thread was automatically locked due to age.
Parents
  • 0
    Thanks Oliver!

    I will try tomorrow and let you know the success rate!
  • 0 in reply to mbeaver
    when you create the firewall CSR and the user CSR, which IP address is to be entered: the firewall IP address, or the client address ?
    thanks for your patience .
  • 0 in reply to millbull
    I swear I have followed these instructions to the letter but I still have not got this to work.
    The log says:
    received 1300 bytes from {remoteip}:20858 on eth1
    a bunch of hex then:
    **parse ISAKMP Message:
    Jun 25 09:27:31 rover Pluto[4533]: |    initiator cookie:
    Jun 25 09:27:31 rover Pluto[4533]: |   ea b3 cb 2a  8f 00 00 00
    Jun 25 09:27:31 rover Pluto[4533]: |    responder cookie:
    Jun 25 09:27:31 rover Pluto[4533]: |   00 00 00 00  00 00 00 00
    Jun 25 09:27:31 rover Pluto[4533]: |    next payload type: ISAKMP_NEXT_SA
    Jun 25 09:27:31 rover Pluto[4533]: |    ISAKMP version: ISAKMP Version 1.0
    Jun 25 09:27:31 rover Pluto[4533]: |    exchange type: ISAKMP_XCHG_IDPROT
    Jun 25 09:27:31 rover Pluto[4533]: |    flags: none
    Jun 25 09:27:31 rover Pluto[4533]: |    message ID:  00 00 00 00
    Jun 25 09:27:31 rover Pluto[4533]: |    length: 1300
    Jun 25 09:27:31 rover Pluto[4533]: | ***parse ISAKMP Security Association Payload:
    Jun 25 09:27:31 rover Pluto[4533]: |    next payload type: ISAKMP_NEXT_VID
    Jun 25 09:27:31 rover Pluto[4533]: |    length: 1252
    Jun 25 09:27:31 rover Pluto[4533]: |    DOI: ISAKMP_DOI_IPSEC
    Jun 25 09:27:31 rover Pluto[4533]: | ***parse ISAKMP Vendor ID Payload:
    Jun 25 09:27:31 rover Pluto[4533]: |    next payload type: ISAKMP_NEXT_NONE
    Jun 25 09:27:31 rover Pluto[4533]: |    length: 20
    Jun 25 09:27:31 rover Pluto[4533]: packet from 213.208.107.207:20858: ignoring Vendor ID payload
    Jun 25 09:27:31 rover Pluto[4533]: | VID:  9a a1 f3 b4  34 72 a4 5d  5f 50 6a eb  26 0c f2 14
    Jun 25 09:27:31 rover Pluto[4533]: packet from 213.208.107.207:20858: initial Main Mode message received on {remoteip}:500 but no connection has been authorized
    Jun 25 09:27:31 rover Pluto[4533]: | next event EVENT_SHUNT_SCAN in 72 seconds

    ANy Suggestions gratefully received.
  • 0 in reply to alanhunter
    I followed the instructions exactly but if i try to connect with SSHSentinel 1.3.2 i got the following in the IPSec-Logfile:

    ipi Pluto[20614]: "xxxxxxxx" 111.111.111.111 #2: responding to Main Mode from unknown peer 111.111.111.111
    Jun 28 17:20:17 vipi Pluto[20614]: "xxxxxxxx" 111.111.111.111 #2: ignoring informational payload, type IPSEC_INITIAL_CONTACT
    Jun 28 17:20:17 vipi Pluto[20614]: "xxxxxxxx" 111.111.111.111 #2: Peer ID is ID_DER_ASN1_DN: '...' 
  • 0 in reply to Fester
    I am trying to setup a connection between ASL3.2 and SSH Sentinel 1.3.2

    I am seeing two problems.  First, IKE negotiation fails about 2/3 of the time with a message the remote host fails to respond although I see the traffic in the IPSec live log.

    When phase 1 is successful, phase two fails with "The remote end cannot find IPSec proposal parameters."  I also get the following error message:

    Jun 30 17:23:06 outsidefw Pluto[12421]: "fljgarmon_1" 192.x.y.101 #8: cannot respond to IPsec SA request because no connection is known for 0.0.0.0/0===192.x.y.2...192.x.y.101[fljgarmon@jgarmon.com]

    From looking around on the web at freeswan sites, this appears to be a config error on my end.  Unfortunately, I do not know where to look in the ASL config to fix this.

    Any help or suggestions would be appreciated.
  • 0 in reply to J Garmon
    Hi,

    I had the same problem as alanhunter. I think that astaro only accept connections originated from port 500. If you use router with nat this can be a problem. I tried direct connection to ISP and the VPN worked fine, when I use router with nat I had the same problem.
     
    Is it possible to convince astaro to accept connections from udp port different then port 500. 
    Is there anybody that successfully uses SSH NAT traversal with astaro.

    Kind regards                                    

    Ojrad
  • 0 in reply to ojrad
    Hello,

    i also probing the X509 CA connection between Sentinel 1.3.2.2(Win2K SP2) and Astaro 3.202.
    My problem is that an connection can be established but only if I run once the diagnostic. Any time I restart the vpn service on astaro I could't connect again. 
    Only when I run the diagnostic on sentinel again, the vpn connections could be established again too.
    Very strange?

    best regards 

    Steffen
    Very strange?
  • 0 in reply to scotty_01
    Hi Scotty!

    Try deleting all SA's in SSH Sentinel before reconnecting after you restarted your ASL. This might help!

    Greetings 

    The frozen
  • 0 in reply to The frozen
    scotty,

    that is what I tried to explain here

      
     If it is succesfull note that
    the firewall doesn't interpret informational messages
    send by the SSH client, so the fireall will have after
    the diagnostic a valid ipsec connection.

    To enable the connection, do a right click on the
    SSH icon in the icon tray an select "select VPN", select
    your VPN connection and, if the IPSEC monitor was
    opened before, you can see after a successful authentication
    the activated tunnel.
     
    please try again!

    read you 
    o|iver
  • 0 in reply to oliver.desch
    If any body is still having trouble, I have a "How to"  with sreen shots if any body is interested. I followed Olivers instructions and added screenshots

    email rayzor70@shaw.ca

    Rayzor
  • 0 in reply to Rayzor
    Rayzor's doc was extremely helpfull.  However this is one update.  By default the new version of SSH sentinel enables NAT-T.  You must desable this for it to work.

    Other than that the doc was spot on!!!!
Reply
  • 0 in reply to Rayzor
    Rayzor's doc was extremely helpfull.  However this is one update.  By default the new version of SSH sentinel enables NAT-T.  You must desable this for it to work.

    Other than that the doc was spot on!!!!
Children
  • 0 in reply to mbeaver
    Origional post by Mbeaver

    Rayzor's doc was extremely helpfull. However this is one update. By default the new version of SSH sentinel enables NAT-T. You must desable this for it to work.

    Other than that the doc was spot on!!!! 

    I personally did not have to change anything for it to work......but I will update my Doc...Thanks Mbeaver

    Rayzor
  • 0 in reply to Rayzor
    Oliver:

    O.K. So everytime I want to use vpn connection first I have to do a diagnostic run.
    Hm not very nice to use. Is there no way out? 

    Thanx Steffen
  • 0 in reply to scotty_01
    I have deleted and recreated several times for testing porposes and I have not had to run diagnostics to get VPN....In fact I just go straight to the vpn connection without doing a diagnostic.......but this is just me...not everyone will be the same....I do know that I have run a diagnostic with one configuration and it failed but was still able to establish a connection.....these are just my findings....take them for what they are worth...

    Rayzor
  • 0 in reply to Rayzor
    Rayzor:

    what version of sentinel do you use? For a short time I used version 1.3 Beta2. There was no problem too!
  • 0 in reply to mbeaver
    Scotty:

    I am also using 1.3.2 (build 2). seems to work without having to do any diagnostics. In fact I do not use the diagnostics at all I just go straight to the VPN connection as Oliver posted. 

    Mbeaver:

    By default My NAT-t is disabled....or at least I do not remeber changing that setting....but it is good to note that the box will have to be unchecked for the connection to work...I will add a note to my Doc to check that setting.
    thanks again

    Rayzor
  • 0 in reply to scotty_01
    I am currently using 1.3.2 (build 2).  This version has some good fixes including the ability to connect to a VPN Gateway that is using dynamic DNS (like TZO which I use).

    I have never had to use diag to get the tunnel up....  might be the version of Sentinel.
  • 0 in reply to Rayzor
    Hello again,

    i received the HowTo and will check it next week,
    if it is O.K., I am sure it is, we will
    publish it on our docs server (docs.astaro.org).

    But only if Rayzor agrees       [;)]     

    I will save a lot of time, because my operating
    system is still in German language            

    read you
    o|iver
     
     [size="1"][ 12 July 2002, 16:23: Message edited by: oliver.desch ][/size]
  • 0 in reply to oliver.desch
    I also set up my SSH like Rayzor. No Problems here.  I did have a few Problems with the Accession Lite however.  Hardware Tokens would load and then be deleted in an endless loop.  After uninstalling SSH (not updating) and reinstalling the problems went away.

    I did speak with SSH about other issues like Silent Install and Automatic Network installation.

    They tell me that these 2 features will be in the 1.4 version which is slated for a September release.  which should make enterprise installation much easier.  [:)]
  • 0 in reply to Tmor
    Hello again,

    we published the HowTo at http://docs.astaro.org/docs_v3/vpn

    Thanks to Rayzor   [;)]  

    read you 
    o|iver
  • 0 in reply to oliver.desch
    I did manage to connect to our Office behind the Astaro firewall from a public IP adddress.
    Bye the way, thanks to Rayzor who was so kind to send me the doc)

    But (as written in the document) trying to access our office from behind a NAT device does not work.

    Is there really no solution for this?
    I have the VPN-1 secureclient running on my machine so if this could be used....

    intranet-AstaroFW-internet-ISP-NAT-client