Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 4274 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

basic question on VPN

rrpalma
Hello,

I am required to access remotely one of my customer's sites. For this, he has provided me with VPN client software to install on 2 of my PCs.  Those 2 PCs are behind an Astaro Firewall (ASL 5). The VPN client software requires a token password, and I have been provided with the token generating device. I don't need and neither will my client allow it that Astaro establishes the VPN connection, so I just need to tell Astaro to let the VPN traffic go through. My questions are:
1. What ports do I need to open on the ASL firewall?
2. This "proprietary" VPN I need to establish uses IPSec and something called EPS 50 (whatever that is). Anything in particular I should configure on Astaro to make it let the IPSec packets coming from the workstations go through it?

Thanks in advance for all the help you can provide.


This thread was automatically locked due to age.
Parents
  • 0
    rrpalma,

           Has the VPN software provided you with a manual that may contain the ports you need open? Another area to look is the company's website that developed the software. Sometimes they do not put the ports in the manual but will post in on the website.

    Griff
  • 0 in reply to Griff
    Thanks for reading.

    Apparently, the ports that need to be open are 500, 1000 and 4500. But there seems to be something missing. When we connect the VPN clients outside the secure network (ie, directly to the router) I have no problems connecting to my client. However, when behind our firewall we are not able to connect.  Anything else I should be aware of?

    Thanks!
Reply
  • 0 in reply to Griff
    Thanks for reading.

    Apparently, the ports that need to be open are 500, 1000 and 4500. But there seems to be something missing. When we connect the VPN clients outside the secure network (ie, directly to the router) I have no problems connecting to my client. However, when behind our firewall we are not able to connect.  Anything else I should be aware of?

    Thanks!
Children
  • 0 in reply to rrpalma
    I have just been told also that my firewall should be configured to allow ESP 50, so that the VPN software installed on the client PCs can establish IPSec connections by themselves. How do I do this?
  • 0 in reply to rrpalma
    Hi there, 

    you need to create or use three services, go inside ASG into Definition > Services:
    1) IKE 
    Protocol: UDP
    src-port: 1:65535
    dest-port: 500

    2) IKE with Nat-Traversal
    Protocol: UDP
    src-port: 1:65535
    dest-port: 4500

    3) IPSec ESP protocol
    Protocol: ESP (or proto 50)

    if i am not wrong 1) and 3) should be predefined.

    Than you need to create three packet filter rules like this:
    Src: Internal Network
    Svc: 1), 2), 3)
    Dst: Any or VPN endpoint
    Action: Allow

    that will be it. 

    hope that helps, 
    regards
    Gert
  • 0 in reply to Gert Hansen
    BTW please also check the packetfilter log if anything is dropped?

    Do you use NAT/MAsquerading?
  • 0 in reply to Gert Hansen
    Thanks so much Gert!

    On ASL 5.215, when defining services, IKE at port 500 (the first one you mentioned) is already predefined, as ISAKMP.

    I had to define IKE with NAT traversal (port 4500). I do use NAT / Masquerading.

    Just one more question: When defining (3) ESP  (it's not predefined), I get an entry field labeled SPI 256:4294967295. I assume that range has to be replaced by the number 50?

    Thanks again!
  • 0 in reply to rrpalma
    Hi there, 

    no please don't change the SPI range, the SPI it the same for ESP (proto 50) what ports are for TCP (proto 6).
    The range defines all valid SPIs. So the default is correct.

    If you want to learn more about how information are sent over the network, you can lookup the OSI-Model on wikipedia 
    http://en.wikipedia.org/wiki/OSI_model

    TCP and ESP are Transport Protocols on layer 4, IP is the Network protocol in layer 3.
    IP adresses or layer 3 is used to find the right computer you want to talk to. As there can be more than one TCP or ESP connections per computer, there must be a way to distuingish the different connections, this is why TCP has port from 1 to 65535, this means that two computer talking tcp with each other can not have more than 65535 connections. ESP uses SPIs from 256 to 4294967295.

    I hope that clears things up and helps.

    regards
    Gert
  • 0 in reply to Gert Hansen
    Thanks again Gert! Very thorough explanation. 

    On Monday (tomorrow) I will be testing connectivity to my customer's site. I will let you know how it goes.

    Regards,

    -- rrp
  • 0 in reply to rrpalma
    Hello,

    I just finished testing the connection -- unfortunately, it did not work.
    VPN client software is Cisco. I even opened another firewall port, as per my client's request (port 1000).

    What I eventually had to do was very inelegant: assign static private IP addresses to the 2 client PCs, and then allow any outgoing traffic from the 2 client PCs to the remote gateway. 

    Any other suggestions I could consider? Are there any other ports I should open?

    Thanks for your comments.
Cookie Information Banner