Is it even possible???

I'm sure there's a good reason, but I have to ask:

Why not configure the Checkpoint at HQ to go IPSEC to the ASL, instead of using that client??
  

I really wish I was the checkpoint firewall administrator to setup the tunnel.   

So I take it that they said that is out of the question?
  

Way out of the question.  The only way someone can remotely access the internal HQ network is through the checkpoint client.  

I haven't personally done it; there are a number of Checkpoint integrators who will probably weigh in on this here within a few hours, if not a day.

The question is if the Checkpoint client is so high-strung that it does not like the alteration done to the packet headers by NAT.

Another option is to have the internal address be 'real', not to have the Astaro masquerade. Can that be done for just one IP? Again, haven't tried it yet.

Let's see what the next poster(s) have to say...
   

YES !!! – definitely, it’s possible
I’ve got the same requirement for my „office connection“, took a while to make it work, but now its running fine.
You need to allow some additional ports to pass through your firewall. As soon as I’m back home I’ll check my configuration and let you know the details.
Stay tuned –
Regards,
Erich
  

To0w1r3d,

go to services and create a new one: protocol ESP SPI 256:4294967295. Proceed with setting packet filter rules allowing udp/500 (IKE) and the recently created ESP service as destination select the CP definition.

Please note that due to the ipsec protocol characteristics only one connection at the same time is possible.

read u
o|iver

  

Everyone, thank you for your response.  I created the ESP service and packet filter allowing IKE and ESP to pass.  I still couldn't make a connection with the client that I had used to connect with in the past.

Good news it does look like it's possible...so I will press further until I get it.  Just knowing it can be done, is a HUGE help, thanks again for your help!   

Hi !
As promised, here is what I had to do to make the « Checkpoint-client » work:
   1.) Define 2 additional services
                 Name      Protocol    S-Port/Client    D-Port/Server
            Checkpoint      udp            2746                  2746
            Cisco xout       udp        1024:65535          62516 

   2.) Create the following filter rules
             From (Client)          Service           To (Server)             Action 
            LAN_Network__    Cisco xout          Broadcast               Allow 
            LAN_Network__    Checkpoint             Any                     Allow
            LAN_Network__    ISAKMP                  Any                     Allow
            LAN_Network__         ESP                   Any                     Allow
            MyOffice_LAN        ISAKMP          LAN_Network__         Allow
            MyOffice_LAN        ISAKMP         DMZ_Interface__       Allow
            MyOffice_LAN            ESP            LAN_Network__         Allow

     LAN_Network__    ..........   my internal network
     DMZ_Interface__  ..........   my external interface
     MyOffice_LAN       ..........   my office network

After that and an additional restart of the checkpoint client, everything came right up.
Good luck –
Regards,
Erich
   

Success...thank you Erich and Oliver...:::Awesome:::