IPSEC behind NAT--a Howto??

Did you already have a look at www.astaro.com/kb?
/bagira

That particular site I hadn't seen, but all the docs on it I have seen in other forms.  The documentation there tells you how to set up an IPSEC roadwarrior system so clients can connect to your ASL network from out there in the world.

This isn't the IPSEC problem I'm having.  What I am trying to do is enable guests on my network, behind my ASL firewall, to log on to their own IPSEC VPNs somewhere else in the world that I don't control.  Something about ASL (or the very nature of NAT, I'm guessing) makes that impossible.  My guess is that the endpoint has to be to the IP address of the actual roadwarrior client, which is of course not reachable behind any NAT router.

I thought I had read somewhere that there was a way to configure ASL so it would pass those IPSEC sessions through the firewall, but I can find no documentation anywhere that either confirms this to be true, or tells me how to accomplish it.

Dan

Dan,

did you mean the stuff, that you have to open port udp 500 and udp 4500 for outgoing traffic to allow the client to connect to his vpn?

Dan,

did you mean the stuff, that you have to open port udp 500 and udp 4500 for outgoing traffic to allow the client to connect to his vpn?

Maybe I do, I don't know.  Is that what it takes?  Is there anything else?  That's precisely what I wanted to know.

If your VPN hosting end point sits in behind the router that has the public IP address, you do have to create the required SNAT or port forwarding rules on the router to map the required ports to your VPN host. Ports 500 and 4500 for IPsec connections, ports 47 and 1723 for PPTP connections, etc.

The only way around this is to have the VPN hosting end point right at the node with the public IP address, which is not always practical, particularly in network setups where there are two back-to-back firewalls with a DMZ zone in between. Then you would want the inner firewall to act as the VPN host, while the outer one just does the port forwarding.

I'm afraid I'm not making myself clear. . . [:(]n.

I'm not talking about MY VPN at all.  I'm talking about when a sales rep for our manufacturer visits our company, and wants to log on with his laptop to his own corporate VPN at home, which is set up for roadwarrior IPSEC connections.  He can't do it.  I can't tell why.  I'm only guessing that IPSEC clients are designed to have a public IP address of their own for the CLIENT endpoint side of things, and that the NAT performed by ASL on my internal network prohibits this.

These guys tell me thatSOME other places they are able to connect to a local dealer's LAN and IPSEC into their corporate VPN, but they cannot do so from mine.  This is what I want to change, if I can do it without exposing my entire LAN to the world.  Otherwise, my only hope would be to give them a public IP address off of the unprotected WAN side of my network. . .a scenario I'm trying to avoid.

But to reiterate--the hosting endpoint is out in points yonder over which I have exactly zero control. . .but which works from other locations.  It's the client endpoint that is on my LAN.

Dan

Could it be that you block outgoing traffic on IPSec Ports 500 and 4500 or for the IP the laptop get, there is no NAT rule?

Hi,
its not only to allow the traffic outgoing on port 500 and 4500, in addition you have to forward incomming to these ports to the client. so on an asl-box a snat/dnat-rule wich forwards incomming traffic from the other vpn-gateway to the client behind your asl-box with source and destination ports 500 and  4500. But for this you have to configure every connection for its own.

firebear

Dan,

I use this configuration since quite a time now.
My Laptop with ASC 8.11 and now 8.2 is used from many places and also from one office, which is behind an Astro.
Configuration there: 
Laptop with ASC --> ASL 5.203 (I) --> Internet --> ASL 5.203 (II) with VPN-Endpoint.

For that to work, I have the two services:
ISAKMP:  UDP 500 500
NAT-T:    UDP 4500 4500

and the two rules:

Intern_Network    ISAKMP   Any
Intern_Network   NAT-T      Any

That works like a charm.

Walter,

Am I to understand from your description that you don't have any sort of SNAT/DNAT rule, so your laptop could have any ip address on the internal subnet?  If so, this is exactly what I was looking for!

Thanks!

Dan

Dan,

yes you understood right, I don't have any SNAT/DNAT rule.
One thing to mention: You have to switch On  NAT-Traversal in ASL and ASC, so that theVPN works with UDP.

And where is that switch?  I looked for it without success.

Hi Dan,

first on the ASTARO, its in the under IPSEC -> ADVANCED its the first point on top. NAT-Traversal.
The ASC has a NAT discovery routine, that checks, if the client is behind a NAT-GW or not. No nedd to activate it there, its done automaticaly.

Some impelmentations, like the LUCENT VPN Client have some bad habit of using other ports to communicate. Like UDP 510 for ISAKMP. With the result, that they get still blocked even, when the wright ipsec ports are opened.

Best thing to do, run the Packetfilter-Livelog, when one of those guests is trying to connect.

Best regards 
Chris