Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 681 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Manual NAT IPSEC connection from Windows to Astaro?

warpspasm
Hi Guys,

The Microsoft L2TP over IPSEC protocol provides NAT Traversal which works well for me: Client (NATed)  Astaro Internal Network (NATed).

My question is this: If I build a manual IPSEC tunnel on my NATed Windows XP SP2 client using the MMC Snapin "IP Security Policies on Local Computer" can I successfully connect to my Internal Astaro Network whuich is also NATed?

I know that this was impossible sometime ago, but I know some new featues were released, but I think it was only for L2TP. Does anyone know the definitive answer?

It's strange, all our certificates are issued with VPN ID=email address, so we are unable to use L2TP as Windows requires certificates to have VPN ID=DN. Now I'm wondering if manual IPSEC tunnels can be established - but I'm not sure if Windows manual IPSEC clients can be NATed.

Thanks!


This thread was automatically locked due to age.
  • 0
    Hi,

    My question is this: If I build a manual IPSEC tunnel on my NATed Windows XP SP2 client using the MMC Snapin "IP Security Policies on Local Computer" can I successfully connect to my Internal Astaro Network whuich is also NATed?

    I think you can do this. Native Windows XP IPsec implements the nat traversal draft-02 if I remember well. Astaro supports that draft as well, so there must be no problems with that scenario.  Also there is a guide in the knowledgebase for configuring Windows XP native IPsec with Astaro.

    -langoleer
  • 0 in reply to langoleer
    Hi,


    My question is this: If I build a manual IPSEC tunnel on my NATed Windows XP SP2 client using the MMC Snapin "IP Security Policies on Local Computer" can I successfully connect to my Internal Astaro Network whuich is also NATed?


    I think you can do this. Native Windows XP IPsec implements the nat traversal draft-02 if I remember well. Astaro supports that draft as well, so there must be no problems with that scenario.  Also there is a guide in the knowledgebase for configuring Windows XP native IPsec with Astaro.

    -langoleer
  • 0 in reply to langoleer
    Easiest way, is to generate a X509 request with windows, and then sign the request with the Astaro.
  • 0
    NimmdirKeks: Unfortunately I cannot get Astaro to sign the requests as Astaro will not be functioning as CA at all [:(] This is because the certificates have already been issued with ID Type: USER_FQDN (or email) and this cannot be changed.

    langoleer: Unfortunately I found another problem with Manual Windows IPSEC connections: Apparently you cannot create them with dynamic IP addresses, which kinda makes it useless for Road Warriors which is the main use.

    Thanks for the help guys!
Cookie Information Banner