Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1674 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sentinel & ASL Application Question

t_enriquez
I want to VPN into the ASL box using Sentinel.  I've been able to get the connection working then realized I couldn't really do anything.  I got the PPTP Working fine, but Sentinel was going around alot on the bulletin board, and I wanted to tinker w/ it.

I understand that you can't DHCP from the VPN connection, so how do I Sentinel/VPN in and access PC's on my Internal lan and DMZ?

If that's not possible, why would you use Sentinel to VPN in your ASL box? I got the connection/diagnostics to pass, but not much else.


This thread was automatically locked due to age.
Parents
  • 0
    Origional Message:

    "I understand that you can't DHCP from the VPN connection, so how do I Sentinel/VPN in and access PC's on my Internal lan and DMZ?"

    IPSec works differently then PPTP as far as assigning IP addresses.....but as far as accessing network resources...it is the same.....you either map network drives....or do a run command

    Also there is a document on the site that may help you as well

    http://docs.astaro.org/docs_v3/vpn/X509_Host_to_Net_Dynamic.pdf

    the reason for using SSH over PPTP is that SSH is more secure...which for some users is an importnat issue.....for those that are not to terribly worried about security (as PPTP is still very good), and want easier setup then I would go with PPTP......but this is just my opinion..

    Hope this helps

    Rayzor
  • 0 in reply to Rayzor
    I read the pdf to set everything up, but I still have questions:

    Set the parameters for the new connection
    - Type: Roadwarrior
    - IPSec Policy: 3DES_PFS_COMP (or other)
    - Local Endpoint:  "My Cable Modem"
    - Local Subnet:   "eth0"
    - Add 'X509: remuser (this is the remote X509 Key you created for the remote
    user), to Authentication of remote stations and press
    'Save'

    My local endpoint is the nic connected to my cable modem.

    Local Subnet is eth0.

    On the Sentinel side:

    "Under Remote network click on the ellipsis box and add the remote
    network and click ok (NOTE: this will be the network on the internal
    side of the Astaro firewall opposite the remote user)
    (NOTE: This is the network address not the IP address of the internal
    interface. Our example is 192.168.0.0)"

    eth0 happens to be 192.168.0.0/24, so thats what I have for remote network.

    For sentinel, I have:
    Secure Gateway=ip of ASL on the cable modem side.
    Remote network of "internal" (192.168.0.0/24)
    And correct authentication key.

    I Right click and connect to the ASL.

    When I open a dos window to run ipconfig /all, I get on the SSH Virtual NIC:

    Media State....Cable Disconnected
    Description....SSH Virtual NIC
    Physical Address....XX-XX-XX-XX-XX-XX

    When I try to ping devices on the "internal lan" from the remote VPN seesion, I have no responses. (No IP address) It appears that I followed the directions, but still don't seem to get it.  

    How does the Sentinel/vpn get it's ip address on the local lan? Is something that I assign?
  • 0 in reply to t_enriquez
    Check your SA and IKE lifetimes and default auth protocol.  I also had a similar problem.  Try Rayzors docs.

    Not sure about the internal workings of what happens after a connection, but I do know that the SSH client doesnt receive an IP address.

    I am assuming there is some kind of NAT going on and a Connection/State/VPN ID table is writing somewhere so ASL knows how to get the packets back.

    However because you receive no IP its not possible to PING the client from the internal network.

    hehe something to hack here..    
     
     [size="1"][ 29 July 2002, 08:35: Message edited by: Tmor ][/size]
  • 0 in reply to Tmor
    Tmor origional post

    Not sure about the internal workings of what happens after a connection, but I do know that the SSH client doesnt receive an IP address.

    Yes you are correct...IPSec is a Protocal that works on the same layer as IP but is a separate protocol altogether just like Netbui or IPX...and these protocols do not use IP addresses so neither does IPSec.

    Origional post by t_enriquez 

    When I open a dos window to run ipconfig /all, I get on the SSH Virtual NIC:

    Media State....Cable Disconnected
    Description....SSH Virtual NIC
    Physical Address....XX-XX-XX-XX-XX-XX

    I also get this exact same information....but my connection works fine.....I am also able to ping opposite internal machines and the internal astaro interface....I have ICMP forewarding enabled on both

    From your last submission it sounds like you are able to get a successful connection but are unable to access resources.....If this is the case then you have set up your astaro and SSH correctly....but the the firewll is not allowing traffic to pass...

    Check your routing table to see if there are any ipsec route listed for your connection...but I think TMor is correct....the ASL box does not know how to get the packets back to you...

    I have 1 route in my routing table that looks like this

    24.77.209.124 Via 64.114.52.129 dev IPsec0

    24.77.209.124(my remote user) Via 64.114.52.129(the default gateway of external interface which is Satic not dynamic) dev IPsec0

    I have one Masq rule masquerading my eth0(internal network) to my eth1 interface

    the other thing could be packet filter rules...check to see if for some reason or order that could hinder the allowing of traffic through the tunnel

    hope this helps....anything else just ask...

    Rayzor
Reply
  • 0 in reply to Tmor
    Tmor origional post

    Not sure about the internal workings of what happens after a connection, but I do know that the SSH client doesnt receive an IP address.

    Yes you are correct...IPSec is a Protocal that works on the same layer as IP but is a separate protocol altogether just like Netbui or IPX...and these protocols do not use IP addresses so neither does IPSec.

    Origional post by t_enriquez 

    When I open a dos window to run ipconfig /all, I get on the SSH Virtual NIC:

    Media State....Cable Disconnected
    Description....SSH Virtual NIC
    Physical Address....XX-XX-XX-XX-XX-XX

    I also get this exact same information....but my connection works fine.....I am also able to ping opposite internal machines and the internal astaro interface....I have ICMP forewarding enabled on both

    From your last submission it sounds like you are able to get a successful connection but are unable to access resources.....If this is the case then you have set up your astaro and SSH correctly....but the the firewll is not allowing traffic to pass...

    Check your routing table to see if there are any ipsec route listed for your connection...but I think TMor is correct....the ASL box does not know how to get the packets back to you...

    I have 1 route in my routing table that looks like this

    24.77.209.124 Via 64.114.52.129 dev IPsec0

    24.77.209.124(my remote user) Via 64.114.52.129(the default gateway of external interface which is Satic not dynamic) dev IPsec0

    I have one Masq rule masquerading my eth0(internal network) to my eth1 interface

    the other thing could be packet filter rules...check to see if for some reason or order that could hinder the allowing of traffic through the tunnel

    hope this helps....anything else just ask...

    Rayzor
Children
  • 0 in reply to Rayzor
    I thought the connection was working.  Now when I try to connect, Sentinel passes the Diagnostics test, but recieve "Cannot open the VPN connection" when I try to connect. Here is the log when I try to connect:

    Aug  2 16:29:35 va-louden1c-76 ipsec_setup: ...FreeS/WAN IPsec started 
    Aug  2 17:51:57 va-louden1c-76 Pluto[21892]: packet from 209.244.210.140:500: ignoring Vendor ID payload
    Aug  2 17:51:57 va-louden1c-76 Pluto[21892]: "tony_1" 209.244.210.140 #1: responding to Main Mode from unknown peer 209.244.210.140
    Aug  2 17:51:59 va-louden1c-76 Pluto[21892]: "tony_1" 209.244.210.140 #1: ignoring informational payload, type IPSEC_INITIAL_CONTACT
    Aug  2 17:51:59 va-louden1c-76 Pluto[21892]: "tony_1" 209.244.210.140 #1: Peer ID is ID_USER_FQDN: 'tenriquez1@netscape.net'
    Aug  2 17:51:59 va-louden1c-76 Pluto[21892]: "tony_1" 209.244.210.140 #1: Issuer CRL not found
    Aug  2 17:51:59 va-louden1c-76 Pluto[21892]: "tony_1" 209.244.210.140 #1: Issuer CRL not found
    Aug  2 17:51:59 va-louden1c-76 Pluto[21892]: "tony_1" 209.244.210.140 #1: sent MR3, ISAKMP SA established
    Aug  2 17:52:00 va-louden1c-76 Pluto[21892]: "tony_1" 209.244.210.140 #1: retransmitting in response to duplicate packet; already STATE_MAIN_R3
    Aug  2 17:52:00 va-louden1c-76 Pluto[21892]: "tony_1" 209.244.210.140 #1: Informational Exchange message for an established ISA
    Aug  2 17:53:28 va-louden1c-76 Pluto[21892]: packet from 209.244.210.140:500: ignoring Vendor ID payload
    Aug  2 17:53:28 va-louden1c-76 Pluto[21892]: "tony_1" 209.244.210.140 #2: responding to Main Mode from unknown peer 209.244.210.140
    Aug  2 17:53:29 va-louden1c-76 Pluto[21892]: "tony_1" 209.244.210.140 #2: ignoring informational payload, type IPSEC_INITIAL_CONTACT
    Aug  2 17:53:29 va-louden1c-76 Pluto[21892]: "tony_1" 209.244.210.140 #2: Peer ID is ID_USER_FQDN: 'tenriquez1@netscape.net'
    Aug  2 17:53:29 va-louden1c-76 Pluto[21892]: "tony_1" 209.244.210.140 #2: Issuer CRL not found
    Aug  2 17:53:29 va-louden1c-76 Pluto[21892]: "tony_1" 209.244.210.140 #2: Issuer CRL not found
    Aug  2 17:53:30 va-louden1c-76 Pluto[21892]: "tony_1" 209.244.210.140 #2: sent MR3, ISAKMP SA established
    Aug  2 17:53:30 va-louden1c-76 Pluto[21892]: "tony_1" 209.244.210.140 #2: retransmitting in response to duplicate packet; already STATE_MAIN_R3
    Aug  2 17:53:30 va-louden1c-76 Pluto[21892]: "tony_1" 209.244.210.140 #2: Informational Exchange message for an established ISAKMP 

    Last week it connected, but I couldn't access anything. Any help is appreciated
  • 0 in reply to t_enriquez
    OK,

    I re-installed Sentinel, used my original certificates, and now I can connect to the ASL. This is what my IPSEC log contained:

    Aug  3 06:08:17 va-louden1c-76 Pluto[21892]: "tony_1" 64.157.52.107 #57: responding to Quick Mode
    Aug  3 06:08:18 va-louden1c-76 Pluto[21892]: "tony_1" 64.157.52.107 #57: route-client output: SIOCADDRT: Network is unreachable
    Aug  3 06:08:18 va-louden1c-76 Pluto[21892]: "tony_1" 64.157.52.107 #57: route-client output: /usr/local/lib/ipsec/_updown: `route add -net 64.157.52.107 netmask 255.255.255.255 dev ipsec0 gw 64.157.52.107' failed
    Aug  3 06:08:18 va-louden1c-76 Pluto[21892]: "tony_1" 64.157.52.107 #57: route-client output: /usr/local/lib/ipsec/_updown: (incorrect or missing nexthop setting??)
    Aug  3 06:08:18 va-louden1c-76 Pluto[21892]: "tony_1" 64.157.52.107 #57: route-client command exited with status 7
    Aug  3 06:08:27 va-louden1c-76 Pluto[21892]: "tony_1" 64.157.52.107 #57: route-client output: SIOCADDRT: Network is unreachable
    Aug  3 06:08:27 va-louden1c-76 Pluto[21892]: "tony_1" 64.157.52.107 #57: route-client output: /usr/local/lib/ipsec/_updown: `route add -net 64.157.52.107 netmask 255.255.255.255 dev ipsec0 gw 64.157.52.107' failed
    Aug  3 06:08:27 va-louden1c-76 Pluto[21892]: "tony_1" 64.157.52.107 #57: route-client output: /usr/local/lib/ipsec/_updown: (incorrect or missing nexthop setting??)
    Aug  3 06:08:27 va-louden1c-76 Pluto[21892]: "tony_1" 64.157.52.107 #57: route-client command exited with status 7
    Aug  3 06:08:27 va-louden1c-76 Pluto[21892]: ERROR: "tony_1" 64.157.52.107 #57: pfkey write() of SADB_DELETE message 107 for Delete SA esp.125dc7f6@24.49.36.76 failed. Errno 3: No such process

    Any ideas on how to fix the routing problem?