Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1336 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASL 4 SSH sentinel Roadwarrior VPN

jam
I've just changed from ASL 3.216 to ASL 4.00

I use sentinel 1.4 to establish a VPN roadwarrior access from my PC to my ASL box, for admin purposes (webadmin, ssh).

In ASL box, I allow only my private network for webadmin and ssh. I  add no specific rule in packet filter. In sentinel, I do not use virtual ip.

All was working fine with ASL 3.216.

With ASL 4.00, I still can establish the tunnel, but can't access to asl box (no more by webadmin than ssh).

In ASL 4.0, my roadwarrior access is defined with auto packet filter to "on". All others parameters have not been changed from 3.2 to 4.0.

I've also tried with auto packet filter to "off" and specific rules in packet filter (ipsec: any any any allow), with no more success.

What's the matter ???  


This thread was automatically locked due to age.
  • 0
    try this without defining any extra definitions or packet filter rules:

    on the ASL:

    IPSec -> Remote Keys -> edit (X509) and give it a virtual IP (10.10.10.10) and save it.

    in SSH Client:

    define the virtual IP in your policy. Acquire virtual IP -> settings -> specify manually.

    I have also activated NAT-T in the SSH client and also on the ASL.  no problems with this setup...  
  • 0 in reply to Tmor
    I've already try this without success.
    I've also try no nat-t and no virtual ip with no more success

    In packet filter, i've got this drop packet :
    Feb 28 16:56:22 (none) kernel: TCP Drop: IN=ipsec0 OUT= MAC=00:e0:18:9e:44:3c:00:a0:f9:04:c1[:D]b:08:00 SRC=192.168.0.5 DST=192.168.11.254 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=87 DF PROTO=TCP SPT=1047 DPT=443 WINDOW=16384 RES=0x00 SYN URGP=0 

    192.168.11.254 = private interface of astaro v4 box
    192.168.0.5 = ssh private virtual ip

    I've try to add a rule in packet filter 192.168.0.5 any any any allow with no success.

    What's the matter ???
      
  • 0
    I've found the problem.

    It works fine only if you take a virtual ip in your private network (192.168.11.0/24 in my case) and  you do not need specific rules in packet filter

    If you take a virtual ip outside your private network, you can establish the tunnel but are unable to use webamin or ssh on the asl box (even adding specific rules)

    Thanks to F. Cluzeau (Hermitage technologies) who find the answer to my problem.  
  • 0 in reply to jam
    Dear Jamailly,

    if you setup a vpn connection with NAT-T and virtual IP (it doesn't matter
    if local IP addresses or remote ones are in use) it wouldn't be a problem to
    access the INTERNAL IP of the firewall. Of course this virtual IP has to be present
    in the WebAdmin and/or SSH settings.

    read you
    o|iver  
  • 0 in reply to oliver.desch
    Until today I was working with a virtual ip from my internal network.
    Next to a problem to access to my internal network and not only to webadmin or ssh on the internal INTERFACE (i've make a post to this subject) , I've try again with a virtual IP out of my internal network and defining it and allowing it for webadmin and ssh.

    As before, I can establish the VPN tunnel, but i'm unable to access to webadmin or ssh on the astaro box.

    What can I ve forget ?
    What's the matter ?

    By advance Thanks.   
  • 0 in reply to jam
    I've found my problem. My VPN connection on astaro was defined with two remote keys allowed : one with a virtual ip (192.168.100.150) from my internal network (192.168.100.0/24), the other with virtual ip (192.168.150.1) out from my internal network.

    If I keep only the one with virtual ip (192.168.150.1) out of my network it works pretty fine, except that auto packet filter to ON doesn't seem to work as expected : I have to add specific rules (roadwarrior to internal_netwrok : allow) to packet filter to be able to access my internal network.

    Do you have the same problem with auto packet filter ?

    NB: If I use a virtual ip from my internal network, I can establish the VPN tunnel, reach the astaro box (ping, webadmin, ssh) but nothing more (and especially unable to access internal network).
      
Cookie Information Banner