Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1483 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN with PSK between checkpoint & astaro

f.bone
hi,
could anybody lead me into the right direction ?
here's my problem : I want to setup a vpn net-2-net connection between two private networks, one behind a checkpoint firewall, the other behind astaro. in front of the astaro is another fw, which has a static NAT to the astaro box. the whole thing looks like this :

private net1(192.168.100.0)--checkpoint--internet--ext.FW--astaro--private net2(172.16.0.0)

checkpoint : internal 192.168.100.1 external 200.100.1.1
ext. FW : internal 192.168.1.1 external 200.200.100.1
astaro : internal 172.16.1.100 external 192.168.1.2

the ext. FW has a static nat entry so the official address 200.200.100.10 is forwarded to astaro 192.168.1.2

after all, key exchange seems to be working, but I can't send any traffic from net1 into net2. packet filters on astaro are set up to allow any services between the 2 private networks.

is there anything I have forgotten ? what ports have to be opened on ext.fw ?
 
how do I define the correct routes ?

any help is appreciated.....


This thread was automatically locked due to age.
Parents
  • 0
    i'm getting the following error message when trying to ping a host in net1 from a host in net2

    cannot respond to IPsec SA request because no connection is known for 172.16.1.1/32===192.168.1.2...200.100.1.1===192.168.100.12/32

    what does that mean ?

    the actual VPN connection status reads
    172.16.0.0/16===192.168.1.2---192.168.1.1...200.100.1.1===192.168.100.0/24

    and the VPN route is 
    172.16.0.0/16      -> 192.168.100.0/24   => tun0x1002@200.200.1.1
Reply
  • 0
    i'm getting the following error message when trying to ping a host in net1 from a host in net2

    cannot respond to IPsec SA request because no connection is known for 172.16.1.1/32===192.168.1.2...200.100.1.1===192.168.100.12/32

    what does that mean ?

    the actual VPN connection status reads
    172.16.0.0/16===192.168.1.2---192.168.1.1...200.100.1.1===192.168.100.0/24

    and the VPN route is 
    172.16.0.0/16      -> 192.168.100.0/24   => tun0x1002@200.200.1.1
Children
  • 0 in reply to f.bone
    What do the CKP logs tell about the VPN buidup? Usually the log is quite good for troubleshooting.

    Usual oversight: you pass (and NAT) IP types 50/51 (ESP/AH) on the external firewall, not just TCP, UDP and ICMP, don't you?!

    Wohoo - one moment - you are trying to construct a VPN ove a NATed (i.e. service-forwarded) connection? Then, I fear, you are out of luck. AFAIK "VPN over NAT" was not an issue when designing the protocol.
  • 0 in reply to vtanger
    >What do the CKP logs tell about the VPN buidup? >Usually the log is quite good for troubleshooting.

    I'll have to ask the remote admin for that.

    >Usual oversight: you pass (and NAT) IP types 50/51 >(ESP/AH) on the external firewall, not just TCP, >UDP and ICMP, don't you?!

    I pass IP types 50,51 and UPD/500 from the external box to the internal Astaro. ICMP is allowed as well.

    >Wohoo - one moment - you are trying to construct a >VPN ove a NATed (i.e. service-forwarded) >connection? Then, I fear, you are out of luck. >AFAIK "VPN over NAT" was not an issue when >designing the protocol.

    really ? that's bad news for me....
    even if I have static entries ? but why does the key exchange seem to be successful and why does astaro show me a running VPN tunnel ?
Cookie Information Banner