Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 1732 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple RW IPSec clients from differt host?

connect
I'm trying (without success) to estabilish multiple concurrent IPsec Roadwarrior client connection.
The clients uses SSH Sentinel, with NAT-T and Virtual-IP, each one different from others.
It seems that only one connection can be activated, otherwise any clients can't connect.
The diagnostics of Sentinel stops on Phase 1 test (sometimes without completing it).
Any opinions?
Thanks  


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    is it possible that your clients are behind a NAT-Device (e.g. DSL-Router)? If this is the case only one Tunnel will work at a time for NAT is able to differentiate between various TCP/UDP sessions targetting the same service, but that does not work for ESP (the IP-Protocol used for IPSec tunneling). So setting up phase one works for this is running on port 500/UDP, but phase two needs ESP and then you have trouble.

    Kind regards,

    Jens  
Reply
  • 0
    Hi,

    is it possible that your clients are behind a NAT-Device (e.g. DSL-Router)? If this is the case only one Tunnel will work at a time for NAT is able to differentiate between various TCP/UDP sessions targetting the same service, but that does not work for ESP (the IP-Protocol used for IPSec tunneling). So setting up phase one works for this is running on port 500/UDP, but phase two needs ESP and then you have trouble.

    Kind regards,

    Jens  
Children
  • 0 in reply to JensM
    My clients try to connect from different site, one client per site, so the problem couldn't be that you suppose.
    I suspect a problem on astaro, has any one realized the same scenario ? Does it works?  
  • 0 in reply to JensM
    Another note.
    With NAT-T the ESP isn't used.
    The encrypted traffic is encapsulated on UDP/500. I believe...  
  • 0 in reply to connect
    HI there, 

    which version of ASL are you using, and which version of SSH Sentinel?

    What authentication merhod are you using?

    If you are using PSK, they must all share the same secret.

    What Identifier type are you using, IP, Hostname, Email or DN?
    Is the identifier different for every client?
    Is the Virtual IP different for every client?

    kind regards
    Gert 
  • 0 in reply to Gert Hansen
    Sorry, I had to provide this infos before...  [:$]
    ASL v. 4.000
    SSH Sentinel v. 1.4 (build 137)
    PSK different for each client with different V-IP

    Thanks  
  • 0 in reply to connect
    Hi connect, 

    using different PSK for each roadwarrior is not supported and does not work.
    always the first shared secret is used for ALL clients.

    This is not an Astaro issue, but a ike protocol issue.
    Astaro supports only ike main mode.
    In IKE Main Mode, the identifier of each client is encrypted, therefor it can not be 
    used to determain to matching PSK.
    This is why the keying daemon uses always the first PSK.

    The solution for this is using X.509 certificates for all your roadwarriors.
    This is even more secure then PSK.

    You can create X.509 certificates by using the included CA Managment.
    This is easier as you might think.
    Take a look at this howto, this will guide  you through the process.
     http://docs.astaro.org/older_versions/ASL-V3.2/docs_v3/vpn/X509_Host_to_Net_Dynamic.pdf 

    I hope this fixes your issue, 
    please let me know if it works, 
    kind regards
    Gert

     
  • 0 in reply to Gert Hansen
    I already know about x509 auth, I've tried it and it worked.

    I only didn't know about the limitation of PSK auth.

    Thaks a lot.  
Cookie Information Banner