Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 2871 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Shrew and Astaro IPSec Roadwarrior

Flancer
I am unable to connect to Astaro IPSEC Roadwarrior configuration using the Shrew VPN client (www.shrew.net) even when I ensure that the IPSEC policies shown in the WebAdmin matches what I have configured in the client.

I am able to connect to other solutions such as Fortigate and it seems the author has tested it with other commercial solutions (except for Astaro).

Trying to reverse engineer the settings from the Astaro Secure Client, it seems that Astaro has kept hidden some settings e.g. Key Life Data Limit that does not appear in the WebAdmin IPSEC Policy settings. It also does not specifically mention that it uses the Astaro user's e-mail address as the UFQDN.

Are there any other settings that Astaro uses that I should be aware of in order to make IPSEC (Roadwarrior) connections from non Astaro software?

Also I have tried to use the passphrase option but it seems WebAdmin rejects just about every phrase I've keyed in. Is there a naming convention I should know about for the passphrase? This rejection does not occur when I use IPSEC for site-to-site connections.


This thread was automatically locked due to age.
  • 0
    I am not familiar with that client, but we did implement some enhancements to IPSec with 7.300, including support for Xauth.  Are you testing on 7.300?
  • 0 in reply to Jack Daniel
    Yes I am currently testing on 7.3. I had previously tested with 7.2x but that didn't work out as Shrew didn't support Astaro's way of implementing roadwarrior IPSEC (using the PKCS #12 file without X-Auth).

    I couldn't test with the Passphrase as Astaro didn't seem to like any passphrase I tried to use.
  • 0 in reply to Flancer
    I'm just now trying to get Shrew Soft VPN client to connect to ASG 7.502

    Has anyone gotten this to work? Is there a step by step somewhere?
  • 0 in reply to JimmyM
    I got the Shrew Soft VPN client (Free IPSec VPN client) working with ASG 7.502.
    Below are the settings I used to establish a VPN connection.

    My ASG settings were AES-256, Preshared Key, XAUTH, No compression
    General Tab:
    Host: Host ip or FQDN of ASG.
    Port: 500
    Auto Configuration: disabled (You get errors in the ASG IPSec logs if you use other)

    Local Host Adapter Mode: Use a virtual adapter and assigned address
    MTU: I used 1380 and it works but the setting in ASG suggests 1420 will work too
    Address: Set your local ip address that will be used when connected
    Netmask: Set Netmask accordingly.

    Client Tab:
    NAT Traversal: enable
    NAT Traversal Port: 4500
    Keep Alive 15 Sec
    IKE Fragmentation: enable
    Max Packet Size: 540

    Name Resolution Tab:
    Auth Method: Mutual PSK + XAUTH
    DNS Sub-tab: Set manually (Auto config doesn't seem to work)
    Split DNS Sub-tab: Disable all
    WINS Sub-tab: Set manually

    Authentication Tab:
    Local Identity Sub-tab:
    Ident type: IP Address
    Check box for Use a discovered local address

    Remote Identity Sub-tab:
    Ident type: IP Address
    Check box for Use a discovered local address

    Credentials Sub-tab:
    Enter Pre-shared Key

    Phase 1 Tab:
    Exchange Type: main
    DH Exchange: group 5
    Cipher Algorithm: auto
    Hash Algorithm: auto
    Key Life Time Limit: 7800
    Key Life Data Limit: 0

    Phase 2 Tab:
    Transform Algorithm: auto
    HMAC Algorithm: auto
    PFS Exchange: disabled
    Key Life Time Limit: 3600
    Key Life Data Limit: 0
  • 0 in reply to JimmyM
    Hello everybody,

    I'm using Shrew VPN Client Ver. 2.1.5 for IPSec connections of Windows XP and Ubuntu 10.04 clients to my ASG 7.504.

    Connecting the Windows clients is relatively easy and documented well in several articles here.

    But, connecting the Ubuntu 10.04 machines takes me some time. Well, I've that say that I use the same settings as for the Windows machines.

    The tunnel was established very quick. Then the packages go out through the tunnel and come back to the sending interface. But, the sending application doesn't get any response package! Curious, isn't it?

    So what happens and what's the solution? Well, Ubuntu (and may be other Linuxes too) have a built-in spoofing protection controlled by rp_filter.

    After I switched off this filter all answer packages reach the initiating application. For details see her, please:

    http://http://lists.shrew.net/mailman/htdig/vpn-help/2008-November/001827.html

    Although this documented has been written for Ubuntu 8 it works with 10.04 too.

    I hope this hint will help you to safe some time while searching for the "strange" behavior described above [;)]

    Greetinx

    Guido
  • 0 in reply to Moose
    Hello everybody,
    Connecting the Windows clients is relatively easy and documented well in several articles here.


    Sorry but where can I find this documentations, Shrew VPN is driving me crazy [:O]

    edit: The one posted by JimmyM does not work for me.

    THX [:)]