Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1270 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Windows shares and ipsec tunnel

zonk
i have established a ipsec tunnel (host to net) with preshared keys. Host is a WinXP Pro PC /  Net  a asl with WinXP Pro behind it. The IPsec Client is SSHSentinel1.4.0.190. The IPsec tunnel works fine, but i cant ping the computer behind asl and have no access on the shares.

Information:
The IP of the roadwarrior is dynamic (from ISP - analog modem), the asl net is 10.0.0.0 subnetmask 255.255.255.0 (ASL: 10.0.0.10; WinXPPro PC: 10.0.0.2)

so, how can i access on the shares??? (a rule or something like that?)

Hope somebody can help me...
P.S. : sorry for my bad english, i am german  [:$]  


This thread was automatically locked due to age.
Parents
  • 0
    (I am assuming you are using version 4.002)

    Usually you can use the Auto Packet Filter feature, but it currently does not work when using pre-shared secrets.

    If you want to stick with pre-shared secrets, you will need to create a packet filter rule allowing the host to the servers that you decide.  Since the IP is dynamic, I would suggest using a Virtual IP for the client (you can configure the Virtual IP on the IPSec Remote Key section, and then manually assign the same IP in the SSH Sentinel setup).  Then you can write a packet filter rule allowing the virtual IP access to the servers that you want the client to access.

    Alternatively, you could use the Auto Packet Filter feature of the IPSec VPNs and have the firewall dymanically create the rules for you (I only have 2 interfaces, but it seems to allow full access to my Internal network.  It may allow full access to DMZs as well, but I have not tested this).  To do this you will need to configure the internal CA, create a signing request (.req file) on the SSH Sentinel client, upload it to the firewall and sign the request with your Signing CA.  You can then download the certificate and import it into SSH Sentinel.  I think all the instructions on how to do this are included in the Astaro Manual.   
  • 0 in reply to Moby
    I have the same problem. The IPSec tunnle will build correct. I am able to ping the internal Interface of the ASL but all other IPs in the same network are not reachable.

    Help is needed please. I have to secure a WLAN via ASL IPSec within a company. Sure I use different IPs (Extern NIC 10.0.0.1 and Internal NIC 172.26.24.1) Servers are on 172.26.24.0/24 and Clients are on 10.0.0.0/24)

    Thanx   
  • 0 in reply to dada
    Dada,

    Since connections coming in from the ASL are, by the sounds of it, not coming in through the main gateway on the network, whatever the default gateway is for those clients needs to be aware of the 10.0.0.1 network.  Follow this:

    ASL External: 10.0.0.1
    ASL Internal:  172.26.24.1
    Your normal gateway: 172.26.24.254 (insert whatever ip you use here)

    I imagine most of the servers are set to the 172.26.24.254 gateway, so when they see traffic coming in from 10.0.0.1, they are sending the replies to the 172.26.24.254 gateway instead of the .1 interface on the astaro.  You have to do either one of two things:

    1)  Add a default route on the .254 gateway for the 10.0.0.0/24 network, that points back to the 172.26.24.1 gateway.

    or

    2)  Masquerade connections from the 10.0.0.0/24 network to the Internal interface on the ASL box (172.26.24.1).  This would work, but would not allow you to monitor what IPs on the 10.0.0.0/24 network are communicating with the servers as all traffic would appear to come from 172.26.24.1.

    I hope that helps you (and wasn't too confusing [:)] 

      
  • 0 in reply to Comnet
    I just realized how old that post was.  Please disregard...(eek) 
Reply Children
No Data
Cookie Information Banner