Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 2016 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN between Astaro and Win XP with native IPsec

equilibrium
Hi,
I have some questions which could be of interest for all people here.
At the moment i am running ASL v5 rc2 as gateway on my remote-network side and on the other side i have some Win XP clients behind a router that makes NAT. Using the recent version
of SSH Sentinel as client-soft everything works properly. Now i want to test the "built-in" IPsec from XP. I mean plain IPsec with Marcus Müllers IPsec-tool (www.vpn.ebootis.de) and no L2TP over IPsec because this has some drawbacks as there is a bigger overhead and no possibility to use PFS under XP.
My problem now has to do with virtual ips, because Windows does not support virtual ips for IPsec in native Tunnelmode. The Astaro
on the other hand requires a virtual IP address. However there
are some people who managed to use Win Xps IPsec in a NATted environment with a super-frees/wan (http://ipsec.math.ucla.edu/services/ipsec.html).
Is it possible to  achieve it with the Astaro too? 
My second question: Astaro is based on Openswan which supports DHCP over IPsec, when will Astaro support this feature?
Thanks in advance!


This thread was automatically locked due to age.
Parents
  • 0
    Yep, Ive had it working on v4 to Win2k IPSEC server behind a NAT passthru device. Linksys I think. 
    Anyway you have to use a cert generated from Astaro and send the pair to the win2k box to import both the trusted root and the server cert.
    Win2k does not use IP address as endpoint id so you have to use cert. Also win2k id is in the format "@host.domain" which sucks badly so just use a cert. You can see all this from the logs anyway.

    It took a couple of hours to figure all the combinations out required to get it to work, but once it was up it was fine. Some errors in the logs but nothing to stop it working.

    Rich
  • 0 in reply to Smeagol
    Rich,
    Would you be so kind to post more details of how you got this to work? I'd appreciate it!
    Thanks,
    --Ulf
  • 0 in reply to Ulf_Baumann
    Not sure what you mean by virtual IP's you just leave that blank.
    Create an x509 remote key and use Distingushed name to id the connection. Send that with a copy of astaro's root ca key to the win2k box. (Mess with the export options until you get 2 certs out) Import the astaro root cert as a trusted root and the remote key as the ipsec policy key for authentication. (on w2k make sure you are focused on the computer not user or something silly)
    Now both sides have a common trusted root cert.

    You can create a policy on the astaro box with the following settings.

    ISAKMP-
    3des 168bit Enc Algorithm
    Auth is MD5 160bit
    IKE DH is DH group 2 (mod 1024)
    IPSEC-
    Tunnel mode of course
    ESP protocol
    Enc 3des-cbc 168bit
    Enforce on
    Auth md5 160bit
    No pfs!
    No comp!

    Then configure your ipsec rule to the routable ip of the destination gateway etc same as usual using the key you made and sent to the w2k box as the authentication key.

    Check the syslog etc for errors but that should just about be it. The win2k config is messy, I wasnt privvy to that in detail but the main issue we had was the policy and auth mechanism. using ip, or email address or host name etc sucked bad, you have to use a cert and distinguished name thats the hard bit to work out. The rest is std win2k ipsec policy mess. 

    Oh yeah this was via a static ip but using ipsec passthru to the win2k box which handled the tunnel. Forget virtual ip, just use the static ip on the destination router and make sure you passthru to win2k. Using a cert bypasses issues related to the different ip's etc. I should have done up a faq at the time I guess [:)]

    Regards
    Rich
  • 0 in reply to Smeagol
    Hi,
    I´ve also problems with IPSec native Client.
    I did the astaro setup as described in the IPSec Roadwarrior Guide.
    I´d like to use the native WinXP IPSec client at the roadwarrior.
    Can someone post his ipsec.conf for the WinXP machine? How can I handle virtual IPs within the ipsec.conf?

    Thanks for helping.
    Kind Regards,
    Whoopie
  • 0 in reply to Whoopie
    Windows 2000/XP does not support the use of virtual ips!
    The posting of smeagol above suggests to use the IPsec-Passthrough-function that some NAT-devices offer.
    But i  want to use NAT-Traversal instead and use clients with private IP-adresses. At the moment i dont know a way of getting
    a WIN-client behind NAT with native IPsec working with the ASL.
    If there is anybody who managed to do this, i would be glad to here about details...  
    Jan
Reply
  • 0 in reply to Whoopie
    Windows 2000/XP does not support the use of virtual ips!
    The posting of smeagol above suggests to use the IPsec-Passthrough-function that some NAT-devices offer.
    But i  want to use NAT-Traversal instead and use clients with private IP-adresses. At the moment i dont know a way of getting
    a WIN-client behind NAT with native IPsec working with the ASL.
    If there is anybody who managed to do this, i would be glad to here about details...  
    Jan
Children
No Data
Cookie Information Banner