Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1224 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

X509 Host to Net connects, but no comm with LAN

mono
Hi.
I followed the Guidebook on docs.astaro.org for X509_Host_to_net VPN's.  As a result, using Sentinel from home, I can succesfully make the VPN connection.  Unfortunately, I can't access the Internal LAN file server, which is the reason for the VPN.   I can't ping it or SSH to it and seemingly don't have any traffic between my Remote PC and the Network behind ASL at the Office.

My particulars:
ASL with latest patches and 3 NICS,
External:  66.92.xxx.19
DMZ    192.168.3.1
Internal  192.168.2.1

My goal is to eventually connect to an IP Based Netware 6 Server via the VPN.

Here's the ASL VPN Config:
Connections:  VPN is Enabled and NAT Traversal is enabled.
So my Connection summary looks like:
Name                   Type                     Local  Remote Endpoints
Roadwarrior        Roadwarrior             External  Any  (and yes it is enabled, green)

FDetails look like:
Roadwarrior type VPN
IPSec Policy – AES_PFS
Auto Packet Filter is On
Endpoint Definition:
Local Endpoint is External
Remote Endpoint is Any
Subnet Definition:
Local Subnet is  Internal_Network_
Remote Subnet is None

Remote Keys: Auto_packet Filter is on with an address: 192.168.4.10 which is not an IP on any Interface.

My SSH Sentinel Config:
Security Gateway :  66.92.xxx.19
Remote Network:  Office Internal (192.168.2.0)

Aquire Virtual IP is On:
Specified Manually:  192.168.4.10
(I tried changing this on both sentinel and ASL to a valid Internal LAN IP with no benefit)
IKE Proposal:
Encryption Algorithm: 3DES
Interity Function: MD5
IKE Mode: main mode
IKE Group:  MODP 1536 (Group 5)

IPSec Proposal:
Encryption Algorithm: AES-128
Integrity Function: HMAC-MD5
IPSec mode: tunnel
PFS Group: MODP 1535 (Group 5)

Advanced Options on Sentinel Rule Properties:
Pass NAT Devices using NAT Traversal


At first I didn't make any packet filter changes because my impression (mistaken perhaps) was that by enabling Auto Packet Filter, it wasn't needed.  Later I tried adding a rule allowing all traffic between the Cert Key for my remote client and the Internal LAN, with no change in access as a result.

I also tried different Auto Assign IP's, ie giving my Sentinel Client an IP on the Internal LAN.  No joy.

Well that's probably too long as it is.  Any help in getting to see the LAN would be appreciated.  I do notice that when I do an IPCPONFIG on the remote WinXP machine, that there is no Default Gateway specified for the IPSec connection.. There is of course a default gateway for my physical NIC adapter to get to Internet.

I'll be happy to provide more info.  Thanks for your help.  

By the way.  The remote PC is behind a standard Linksys Cable/DSL Router.


This thread was automatically locked due to age.
Parents
  • 0
    OK.  Maybe I need to set up a Route on the remote client  [:$]
    I'll try it this evening.  Just figured I'd follow up in case any other VPN noob's are trying the same thing.  I'll post follow-ups tonight. 
  • 0 in reply to mono
    vIP have to be a subnet that isn't used anywhere else.
    What Netmask did you configure for vIP in SSH-Sentinel? Do not use a 32Bit hostmask. Use a Class-C Netmask instead (255.255.255.0).

    Do you have any SNAT?
    Do you have a personal firewall installed on your client?

    Xeno  
  • 0 in reply to Xeno
    so, if virtual IP has to be on a different subnet than Internal LAN do you stiull set up a route on the roadwarrior box to the local LAN?  Are there 2 routes on the client:

    1. VirtualIP/32 -> ipsec0
    2. InternalNet/24 ->ipsec0

     
Reply
  • 0 in reply to Xeno
    so, if virtual IP has to be on a different subnet than Internal LAN do you stiull set up a route on the roadwarrior box to the local LAN?  Are there 2 routes on the client:

    1. VirtualIP/32 -> ipsec0
    2. InternalNet/24 ->ipsec0

     
Children
  • 0 in reply to Roman meytin
    You do not have to setup any routes by hand. ASL and Sentinel will do that for you automatically.
     That could be interesting for you. 

    cheers
    Xeno 
  • 0 in reply to Xeno
    thakns for your response,

    I am not using sentinel, I am using freeswan in gentoo linux (the same thing astaro uses).  So i thought this would work easier.  Here's something I observed:

    On Astaro I set up virtual IP for remote key, I also put Internal_network for local subnet in the connection setttings.

    In Linux client I try setting the rightsubnet=Internal_Network/24  this seems to establish one connection suuccessfully and then it tryies to establish a second connection which never succeeds... astaro log is below.

     if onthe roadwarrior i set the rightsubnet=virtual_ip/32 it connects fine, but of course i have to route to internal_lan which virtual_ip is outside of.  In te instructions you recommend for the windows client there seems to be 2 places one for virtual IP and one fore subnet.... I ca not find such settings in linux freeswan.  Does anyone else outhere not use windows and has IPSEC running?

    thanks,
    -roman

    2004-Feb 16 03:49:26 (none) pluto[21082]: "sputnik_1"[1] 67.74.224.45 #51: sent MR3, ISAKMP SA established
    2004-Feb 16 03:49:27 (none) pluto[21082]: "sputnik_1"[1] 67.74.224.45 #51: cannot respond to IPsec SA request because no connection is known for 172.16.100.0/24===66.92.23.128...67.74.224.45[sputnik@isoTree.com]
    2004-Feb 16 03:49:27 (none) pluto[21082]: "sputnik_1"[1] 67.74.224.45 #51: sending encrypted notification INVALID_ID_INFORMATION to 67.74.224.45:500
    2004-Feb 16 03:49:37 (none) pluto[21082]: "sputnik_1"[1] 67.74.224.45 #51: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xb0d6a70a (perhaps this is a duplicated packet)
    2004-Feb 16 03:49:37 (none) pluto[21082]: "sputnik_1"[1] 67.74.224.45 #51: sending encrypted notification INVALID_MESSAGE_ID to 67.74.224.45:500
    2004-Feb 16 03:49:56 (none) pluto[21082]: "sputnik_1": deleting connection
        
Cookie Information Banner