Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 1 subscriber
  • Views 8272 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

using SSH and ASl 3.2

oliver.desch
Dear Astaro Users,

due to an increasing number of support requests
related to the SSH client and a missing VPN howto,
we apologize for that, I'll try to explain  in
a short form how to set it up.

I assume that most users want to use X.509

On the firewall:
1. Create a signing CA in IPSEC/CA MANAGEMENT
2. Create a firewall CSR (Certificate Signing Request) Identifier should be the IP address, because it is static.
and a user CSR, Identifier here could be the 
email address.
3. checkmark the firewall CSR and choose "issue cert from CSR"
4. checkmark the users CSR an do the same
5. checkmark the users certificate and select "export as PKCS12"
6. goto LOCALKEYS and select the firewalls certificate
7. goto IPSECCONNECTIONS configure your connection,
make sure that the type is ROADWARRIOR and that
you know exactly the parameters of your choosen
policy.

SSH Sentinel:

(please be merciful, I write that from memory)

1. is to import the users PKCS12 certificate, 
choose the TAB Key Management, right click on 
host keys, import certificate. Select your 
exported user certificate. 
The PKCS12 format contains all needed information
as well as the verification CA, so there is no
need to export the firewalls signing CA itself!

Very important: Click on "apply" (hopefully the 
button is named like that in the English 
version :-)) I am sure you know what I mean!

2. Go Back to the configuration Tab and configure
your connection using the new installed certificate.
3. Select properties->the first settings button and
make sure that you exactly use the same params, as
configured in your used Astaro policy.
4. Select the TAB "Advanced" and click on the
first settings button and again use the same params
used in the Astaro policy.
5. Apply all changes.
6. Run diagnostics

If it is succesfull note that
the firewall doesn't interpret informational messages
send by the SSH client, so the fireall will have after
the diagnostic a valid ipsec connection.

To enable the connection, do a right click on the
SSH icon in the icon tray an select "select VPN", select
your VPN connection and, if the IPSEC monitor was
opened before, you can see after a successful authentication
the activated tunnel.

The fireall itself sets automatically packet flters
to allow ANY ACCESS to the network to which the
Security Association (SA) belongs to.

So far for now!

read you
o|iver
 
 [size="1"][ 18 June 2002, 14:11: Message edited by: oliver.desch ][/size]


This thread was automatically locked due to age.
Parents
  • 0
    Thanks Oliver!

    I will try tomorrow and let you know the success rate!
  • 0 in reply to mbeaver
    when you create the firewall CSR and the user CSR, which IP address is to be entered: the firewall IP address, or the client address ?
    thanks for your patience .
  • 0 in reply to Rayzor
    Rayzor's doc was extremely helpfull.  However this is one update.  By default the new version of SSH sentinel enables NAT-T.  You must desable this for it to work.

    Other than that the doc was spot on!!!!
  • 0 in reply to mbeaver
    Origional post by Mbeaver

    Rayzor's doc was extremely helpfull. However this is one update. By default the new version of SSH sentinel enables NAT-T. You must desable this for it to work.

    Other than that the doc was spot on!!!! 

    I personally did not have to change anything for it to work......but I will update my Doc...Thanks Mbeaver

    Rayzor
  • 0 in reply to Rayzor
    Oliver:

    O.K. So everytime I want to use vpn connection first I have to do a diagnostic run.
    Hm not very nice to use. Is there no way out? 

    Thanx Steffen
  • 0 in reply to scotty_01
    I have deleted and recreated several times for testing porposes and I have not had to run diagnostics to get VPN....In fact I just go straight to the vpn connection without doing a diagnostic.......but this is just me...not everyone will be the same....I do know that I have run a diagnostic with one configuration and it failed but was still able to establish a connection.....these are just my findings....take them for what they are worth...

    Rayzor
  • 0 in reply to Rayzor
    Rayzor:

    what version of sentinel do you use? For a short time I used version 1.3 Beta2. There was no problem too!
  • 0 in reply to mbeaver
    Scotty:

    I am also using 1.3.2 (build 2). seems to work without having to do any diagnostics. In fact I do not use the diagnostics at all I just go straight to the VPN connection as Oliver posted. 

    Mbeaver:

    By default My NAT-t is disabled....or at least I do not remeber changing that setting....but it is good to note that the box will have to be unchecked for the connection to work...I will add a note to my Doc to check that setting.
    thanks again

    Rayzor
  • 0 in reply to scotty_01
    I am currently using 1.3.2 (build 2).  This version has some good fixes including the ability to connect to a VPN Gateway that is using dynamic DNS (like TZO which I use).

    I have never had to use diag to get the tunnel up....  might be the version of Sentinel.
  • 0 in reply to Rayzor
    Hello again,

    i received the HowTo and will check it next week,
    if it is O.K., I am sure it is, we will
    publish it on our docs server (docs.astaro.org).

    But only if Rayzor agrees       [;)]     

    I will save a lot of time, because my operating
    system is still in German language            

    read you
    o|iver
     
     [size="1"][ 12 July 2002, 16:23: Message edited by: oliver.desch ][/size]
  • 0 in reply to oliver.desch
    I also set up my SSH like Rayzor. No Problems here.  I did have a few Problems with the Accession Lite however.  Hardware Tokens would load and then be deleted in an endless loop.  After uninstalling SSH (not updating) and reinstalling the problems went away.

    I did speak with SSH about other issues like Silent Install and Automatic Network installation.

    They tell me that these 2 features will be in the 1.4 version which is slated for a September release.  which should make enterprise installation much easier.  [:)]
  • 0 in reply to Tmor
    Hello again,

    we published the HowTo at http://docs.astaro.org/docs_v3/vpn

    Thanks to Rayzor   [;)]  

    read you 
    o|iver
Reply Children
  • 0 in reply to oliver.desch
    I did manage to connect to our Office behind the Astaro firewall from a public IP adddress.
    Bye the way, thanks to Rayzor who was so kind to send me the doc)

    But (as written in the document) trying to access our office from behind a NAT device does not work.

    Is there really no solution for this?
    I have the VPN-1 secureclient running on my machine so if this could be used....

    intranet-AstaroFW-internet-ISP-NAT-client
  • 0 in reply to DanielC
    Daniel:

    As Far as I know from my research...these are your options for connecting that remote machine to yor network.

    1)connect using PPTP
    2) if the other NAT device is an Astaro firewall as well then you can use a Net to Net solution
    3) Expensive Nat Router that supports what you are trying to achieve.

    At present NAT and IPSec do not mix...but that is changing as well....but until then...I use PPTP..for my remote machines and NET To Net where I have two Astaro Firewalls.....much faster to set up and easier to use...but this is just my opinion...

    Rayzor