Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1212 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Roadwarrior CA & NAT problems

Duke_01
Hi again,

I've noticed there's a problem with establishing a Roadwarrior CA connection with a partner that is behind NAT. ASL [5.014] always rejects the connection, saying there's no connection known for the IP address the client has behind the NAT. Setting the Virtual IP address for the Remote Key as specified in the help does not work. However, it does work with a simple Roadwarrior connection. 

After looking at the differences between the entries in the ipsec.conf for the CA and the simple connection, the reason becomes apparent: ASL does not include the Virtual IPs of the Remote Keys in the CA connection - which is somewhat correct because it couldn't distinguish the IPs of UserA and UserB in the CA connection. However this makes it impossible to use a CA connection with clients behind NAT (at least without having to mess with the ipsec.conf. My current workaround is to include a range of Virtual IPs in the %default section   ).

I suggest to provide the ability to add Virtual IPs when editing a CA connection in the WebAdmin. Otherwise I don't see a possibility to get this to work with NAT clients, unless I'm missing something fundamental. In this case, I'd appreciate any hint how to do it correctly then 

Sascha


This thread was automatically locked due to age.
Parents
  • 0
    I'd really appreciate if anybody could comment on this and my other problem here. I think I included as much information as possible, so I think a simple "yes, it's a problem and will or will not be addressed because ..." or "no, not a problem, check this or that setting" should be possible.

    It's quite hard to endorse the product if there are problems that don't get worked out or at least acknowledged when they are reported.

    Thank you,
    Sascha
  • 0 in reply to Duke_01
    Hi Duke,

    thank you for reporting this issue. We are currently working on a solution for this, so stay tuned :-)

    Regards,
    Stephan
  • 0 in reply to Stephan_Scholz
    Thank you very much for the update. As I said, there's a workaround for it, I just wanted to make sure it doesn't slip through unnoticed   .

    I'd be totally happy if you could also take a look at the IPSec Connection lifetime problem  

    @Thomas: Thanks for the tip, but I know about the "Remote Keys" section, it's just that ASL ignores the virtual IPs for Roadwarrior CA connections. It does work with normal Roadwarrior connections though.

    Cheers,
    Sascha
Reply
  • 0 in reply to Stephan_Scholz
    Thank you very much for the update. As I said, there's a workaround for it, I just wanted to make sure it doesn't slip through unnoticed   .

    I'd be totally happy if you could also take a look at the IPSec Connection lifetime problem  

    @Thomas: Thanks for the tip, but I know about the "Remote Keys" section, it's just that ASL ignores the virtual IPs for Roadwarrior CA connections. It does work with normal Roadwarrior connections though.

    Cheers,
    Sascha
Children
No Data
Cookie Information Banner