Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 2230 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Getting ESP packets past ASL

FiveSideCube
I'm trying to get a IPSec link running where one end is on the protected side of ASL.  The IPSec link is setting up OK, but when I try and use the link, ASL is blocking the ESP packet to the to other end (seen in live log).

Any ideas?

Config. details:
ASL 2.022

Internal LAN is Mask'd

Both hosts defined in networks
UDP 500 and ESP SPI: 254:65535 defined as services
UDP+ESP defined as service group

Packet filter rules:
External host  UDP+ESP Grp  Internal host  Allow
Internal host  UDP+ESP Grp  External Host  Allow

DNAT Setting:
ASL Red IP  UDP500  Inetnal host  UDP500

I feel as though something is missing from this DNAT setting letting ASL to permit/forward ESP packets to the Internal host, but the UDP+ESP group isn't an option.

I hope you can help.

PS.  I have tried changing the SPI to the range 254:40000000+ (I forget the exact number, I found it in version postings).


This thread was automatically locked due to age.
Parents
  • 0
    You need to create a service for ESP which is Protocol 51.

    Go to Definitions,
    then services,
    type in the service name
    select ESP as a protocol
    for the SPI numbers add the following:
    256:65536.

    Go to your packet filter and add an exception with the new service and that should solve your problem of ESP access.
Reply
  • 0
    You need to create a service for ESP which is Protocol 51.

    Go to Definitions,
    then services,
    type in the service name
    select ESP as a protocol
    for the SPI numbers add the following:
    256:65536.

    Go to your packet filter and add an exception with the new service and that should solve your problem of ESP access.
Children
  • 0 in reply to Tester100
    If it still doesn't work, build an Astaro 2.x box and create the UDP 500 and ESP services and packet filters, record the range that Astaro uses for the SPI settings and use those in your 3.x box.
  • 0 in reply to Tester100
    Hi there Guys, 

    sorry to correct you Tester100.

    FiveSideCube, you have to create a ESP Service with the SPI Range: 256:4294967296

    4294967296 = (2^32) - 1

    Thank you have to use this Service in the DNAT settings like you did for IKE.

    I hope that helps.

    kind regards
    /polluxxx
  • 0 in reply to Polluxxx
    Originally posted by Polluxxx:


    FiveSideCube, you have to create a ESP Service with the SPI Range: 256:4294967296

    4294967296 = (2^32) - 1

    Which shows how broken this particular interface is for defining ESP.  There is NO reason to reject ANY SPI.  Even 1 - 255 (1 = SKIP, 2= HIP, btw).