Advanced IPSec Tunnel

Hi all,

this is what I want to achieve:

Site A  Site B
|
|
|
|
Client with Astaro SSL Client

Site A and B have a site2site IPSec Tunnel.
Clients have already access to Site A.
Now I must have a solution where clients can access Site A and Site B by using SSL Client.

How to do this ?

Regards,

Alex

In SSL IPSec Settings local networks are set to ANY. All traffic from SSL Client is routed over Site A. 
PF Rules is set to ipsec-pool ssl -> any -> any.

Site B LAN is allowed to access SSL Client Pool .

Regards,

Alex

What happens with a traceroute?

Barry

Hi Barry,

here´s the result:

C:\Dokumente und Einstellungen\ascheale>tracert 192.168.100.254

Routenverfolgung zu ext.stn-cadolzburg.de [192.168.100.254]  über maximal 30 Abs
chnitte:

  1    94 ms    94 ms    94 ms  10.242.2.1
  2     *        *
 and so on ....

The site2site tunnel is up and working. I´m currently working as IPSec SSL User.

Regards,

Alex

which machine is 10.242.2.1?

Barry

Hi Barry,

IP is the ASL IPSEC SSL.

IPSEC Pool is 10.242.2.0/24

Regards,

Alex

Do you have any static routes for the IPSec clients defined?

Barry

My XP Client looks like:

Thu Dec 27 20:34:12 2007 route ADD 83.171.175.*** MASK 255.255.255.255 192.168.67.1
Thu Dec 27 20:34:12 2007 Route addition via IPAPI succeeded [adaptive]
Thu Dec 27 20:34:12 2007 route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.67.1 
Thu Dec 27 20:34:12 2007 Route deletion via IPAPI succeeded [adaptive]
Thu Dec 27 20:34:12 2007 route ADD 0.0.0.0 MASK 0.0.0.0 10.242.2.5
Thu Dec 27 20:34:12 2007 Route addition via IPAPI succeeded [adaptive]
Thu Dec 27 20:34:12 2007 route ADD 10.242.2.1 MASK 255.255.255.255 10.242.2.5
Thu Dec 27 20:34:12 2007 Route addition via IPAPI succeeded [adaptive]
Thu Dec 27 20:34:12 2007 Initialization Sequence Completed

explanation:
83.171.175.*** WAN IP ASL
192.168.67.1 my router here at home
10.242.2.1 and 10.242.2.5 ASL alias IP´s automatically set.

At ASL there are no static routes set by hand.

Regards,

Alex

Is anything appearing in the packetfilter log when you try to connect to site B from the client?

Barry

No, there is nothing seen.
I set packet filter manually and checked the box to log traffic.

There is no traffic seen !

Do I have to do something else on Site B that packets can go back to IP-Sec SSL Client net ?

Alex

No, there is nothing seen.
I set packet filter manually and checked the box to log traffic.

There is no traffic seen !

Do I have to do something else on Site B that packets can go back to IP-Sec SSL Client net ?

Alex

If site B has no rules for the VPN client pool, I can see that being a problem.
Check the packetfilter on the site B firewall too...

Barry

LAN on Site B has PF rules which allows accessing IPSEC Pool.
In general LAN on Site B is allowed to access ANY.

Regards
Alex

And you have a rule on site B for Incoming traffic from the pool on A?

Barry

Here are my rules

Site A

LAN -> ANY -> ANY
IP-SecPool SSL -> ANY -> ANY

Site B

LAN -> ANY -> ANY

Must there be something else ?

Regards,

Alex

I believe you need a rule on B to allow traffic from A's IPSec pool.

Source: A's IPSec pool
Dest: B's LAN?
Allow


Barry

OK,

just did it. But the result is same. No tracert from IpSecPool -> LAN Site B and vice versa.

On both ASL´s there´re no drops in packetfilter.

Regards,

Alex