Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 32065 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC behind NAT--a Howto??

martindw
I know I've seen references before to configuring ASL so a client behind the ASL box can log into an IPSEC VPN somewhere else, but I've searched both documentation and this site without success.  Can anyone please point me to a howto for this?

Thanks

Dan


This thread was automatically locked due to age.
  • 0 in reply to martindw
    Dan,

    yes you understood right, I don't have any SNAT/DNAT rule.
    One thing to mention: You have to switch On  NAT-Traversal in ASL and ASC, so that theVPN works with UDP.
  • 0 in reply to wk_03
    And where is that switch?  I looked for it without success.
  • 0 in reply to martindw
    Hi Dan,

    first on the ASTARO, its in the under IPSEC -> ADVANCED its the first point on top. NAT-Traversal.
    The ASC has a NAT discovery routine, that checks, if the client is behind a NAT-GW or not. No nedd to activate it there, its done automaticaly.

    Some impelmentations, like the LUCENT VPN Client have some bad habit of using other ports to communicate. Like UDP 510 for ISAKMP. With the result, that they get still blocked even, when the wright ipsec ports are opened.

    Best thing to do, run the Packetfilter-Livelog, when one of those guests is trying to connect.

    Best regards 
    Chris
  • 0 in reply to NimmdirKeks
    Thanks, Chris, but there must be more than this to the problem.  I just checked on my box and NAT-Traversal is enabled by default (kinda like you said it would be   ).  However, I know that a couple reps from our factory who were here last month couldn't connect.  I'll have to light up the live log and get them to try again next time they're here, but it crashed & burned somehow.

    Will post back here if/when I learn something. . .!

    Dan
  • 0 in reply to martindw
    Dan,

    I have this same problem.  Just put into production an ASG220 running 6.004.  We are a GE power systems supplier and need to VPN to a GE site in Hungary so we may access an on-line app.  They sent us a Nortel Contivity VPN client (and RSA SecureID hard token) and I installed it.  Forwarded UDP 500 and UDP 4500, but the Nortel client does not seem to use NAT-T because it never places any packets on UDP 4500 and I get all these blocked ESP packets in my filter log.  

    Any one know how to work around this one with a Nortel client?  Any help is greatly appreciated.

    Also - I can L2TP over IPsec from behind my ASG to my Astaro 6 at home just fine, so I have to assume that the NAT-T is working on my ASG, but the Nortel client is not using NAT-T.

    Thanks,
    Paul.
  • 0 in reply to Paul_M
    Well, I forgot to submit my first post before I went to research this problem.

    Dan - This threat helped me:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/102/t/69329

    It basically told me to enable ESP by creating the service and creating the packetfilter rule.

    However, I read that you can only use this for 1 client behind your firewall at a time and was testing with 2 PC's using the Nortel cclient.  Once a client had connected and disconnected the other client could not connect for a period of time.  Not sure what is going on here, but the Nortel client did connect without NAT-T.

    Hope this helps you.
    Paul.
Cookie Information Banner