Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 4711 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPsec VPN problems with private IP behind NAT

neeser
Hello

I was setting up IPsec VPN with X.509 certificates on my Astaro ASG220 7.305 and are using the Astaro Secure Client.
If my client computer has a Public IP-Address, the VPN Tunnel will be established and everything is working fine.

But when the client computer has a Private IP-Address behind a NAT, it doesn't work.
I receive always an IKE Error (Phase1), lost contact with peer!
It's really strange, i also activated NAT-T on the Astaro Box.

I was trying on different dsl modems and public wlan access points, always the same problem, but my old IPsec VPN connection with the old IPCop Firewall is working on the same dsl modems and access ponts with private ip's behind a nat without problems...

What did I wrong? 

Thanks for any help!

---

example logs with public IP (works perfect): [:D]

19.11.2008 23:43:44  IPSDIALCHAN::start building connection
19.11.2008 23:43:44  NCPIKE-phase1:name(REF_ZQSYAGAbIb) - outgoing connect request - main mode.
19.11.2008 23:43:44  XMIT_MSG1_MAIN - REF_ZQSYAGAbIb
19.11.2008 23:43:44  RECV_MSG2_MAIN - REF_ZQSYAGAbIb
19.11.2008 23:43:44  IPSDIAL->FINAL_TUNNEL_ENDPOINT:062.***.***.***
19.11.2008 23:43:44  IKE phase I: Setting LifeTime to 7800 seconds
19.11.2008 23:43:44  REF_ZQSYAGAbIb ->Support for NAT-T version - 9
19.11.2008 23:43:44  XMIT_MSG3_MAIN - REF_ZQSYAGAbIb
19.11.2008 23:43:45  RECV_MSG4_MAIN - REF_ZQSYAGAbIb
19.11.2008 23:43:45  XMIT_MSG5_MAIN - REF_ZQSYAGAbIb
19.11.2008 23:43:45  XMIT_MSG5_MAIN_RESUME - REF_ZQSYAGAbIb
19.11.2008 23:43:46  RECV_MSG6_MAIN - REF_ZQSYAGAbIb
19.11.2008 23:43:46  RECV_MSG6_MAIN_RESUME - REF_ZQSYAGAbIb
19.11.2008 23:43:46  Turning on DPD mode - REF_ZQSYAGAbIb
19.11.2008 23:43:46  NCPIKE-phase1:name(REF_ZQSYAGAbIb) - connected
19.11.2008 23:43:46  Phase1 is Ready: IkeIndex = 00000011
19.11.2008 23:43:46  Quick Mode is Ready: IkeIndex = 00000011 , VpnSrcPort = 500
19.11.2008 23:43:46  Assigned IP Address: 213.55.***.***
19.11.2008 23:43:46  XMIT_MSG1_QUICK - REF_ZQSYAGAbIb
19.11.2008 23:43:47  RECV_MSG2_QUICK - REF_ZQSYAGAbIb
19.11.2008 23:43:47  QuickMode:Turning on PFS mode(REF_ZQSYAGAbIb) with group 5
19.11.2008 23:43:47  XMIT_MSG3_QUICK - REF_ZQSYAGAbIb
19.11.2008 23:43:47  NCPIKE-phase2:name(REF_ZQSYAGAbIb) - connected
19.11.2008 23:43:47  IpSec connected: LifeDuration in Seconds = 2880 and in KiloBytes = 0
19.11.2008 23:43:47  IPSDIAL  - connected to REF_ZQSYAGAbIb on channel 1.
19.11.2008 23:43:47  IPCP  - connected to REF_ZQSYAGAbIb with IP Address: 192.168.254.002. : 192.168.254.003.
19.11.2008 23:44:06  NOTIFY : REF_ZQSYAGAbIb : SENT : NOTIFY_MSG_R_U_HERE
19.11.2008 23:44:06  NOTIFY : REF_ZQSYAGAbIb : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK


example with private IP (doesn't work): [:(]

19.11.2008 23:45:55  IPSDIALCHAN::start building connection
19.11.2008 23:45:55  NCPIKE-phase1:name(REF_ZQSYAGAbIb) - outgoing connect request - main mode.
19.11.2008 23:45:55  XMIT_MSG1_MAIN - REF_ZQSYAGAbIb
19.11.2008 23:45:55  RECV_MSG2_MAIN - REF_ZQSYAGAbIb
19.11.2008 23:45:55  IPSDIAL->FINAL_TUNNEL_ENDPOINT:062.***.***.***
19.11.2008 23:45:55  IKE phase I: Setting LifeTime to 7800 seconds
19.11.2008 23:45:55  REF_ZQSYAGAbIb ->Support for NAT-T version - 9
19.11.2008 23:45:55  XMIT_MSG3_MAIN - REF_ZQSYAGAbIb
19.11.2008 23:45:56  RECV_MSG4_MAIN - REF_ZQSYAGAbIb
19.11.2008 23:45:56  Turning on NATD mode - REF_ZQSYAGAbIb - 1
19.11.2008 23:45:56  XMIT_MSG5_MAIN - REF_ZQSYAGAbIb
19.11.2008 23:45:56  XMIT_MSG5_MAIN_RESUME - REF_ZQSYAGAbIb
19.11.2008 23:45:56  RECV_MSG6_MAIN - REF_ZQSYAGAbIb
19.11.2008 23:45:56  RECV_MSG6_MAIN_RESUME - REF_ZQSYAGAbIb
19.11.2008 23:45:56  Turning on DPD mode - REF_ZQSYAGAbIb
19.11.2008 23:45:56  NCPIKE-phase1:name(REF_ZQSYAGAbIb) - connected
19.11.2008 23:45:56  Phase1 is Ready: IkeIndex = 00000012
19.11.2008 23:45:56  Quick Mode is Ready: IkeIndex = 00000012 , VpnSrcPort = 4500
19.11.2008 23:45:56  Assigned IP Address: 10.5.5.33
19.11.2008 23:45:56  XMIT_MSG1_QUICK - REF_ZQSYAGAbIb
19.11.2008 23:45:56  NOTIFY : REF_ZQSYAGAbIb : RECEIVED : INVALID_ID_INFORMATION
19.11.2008 23:46:00  NOTIFY : REF_ZQSYAGAbIb : RECEIVED : INVALID_MESSAGE_ID
19.11.2008 23:46:03  NOTIFY : REF_ZQSYAGAbIb : RECEIVED : INVALID_MESSAGE_ID
19.11.2008 23:46:06  NOTIFY : REF_ZQSYAGAbIb : RECEIVED : INVALID_MESSAGE_ID
19.11.2008 23:46:09  NCPIKE-phase2:name(REF_ZQSYAGAbIb) - error - retry timeout - max retries
19.11.2008 23:46:09  IPSDIAL  - disconnected from REF_ZQSYAGAbIb on channel 1.


This thread was automatically locked due to age.
Parents
  • 0
    I was setting up the wohle VPN config new inclusive CA x.509 cert and was setting up also a static remote access IP in the user configuration and now it's working! maybee the static ip for the client fixed the problem or something else was broken...
  • 0 in reply to neeser
    Same type of problem here too.
    I have Verizon FiOS Internet (Fiber to the premises). I had been provisioned for Ethernet and just connected the ASG to the Fiber ONT and it acquired a public IP address via DHCP. PPTP and L2TP over IPSec worked very well.
    Now that I have added The FiOS TV service, I HAVE to use Verizon's Actiontec MI424WR Router. I have set up a static private IP address for the external interface of my ASG (192.168.10.1). In the router configuration, I have 192.168.10.1 set up as the DMZ Host. All inbound traffic is forwarded to the ASG IP Address.
    Everything else works as it did before, EXCEPT L2TP over IPSec.
    Is there some setting I need to change in the ASG machine?
Reply
  • 0 in reply to neeser
    Same type of problem here too.
    I have Verizon FiOS Internet (Fiber to the premises). I had been provisioned for Ethernet and just connected the ASG to the Fiber ONT and it acquired a public IP address via DHCP. PPTP and L2TP over IPSec worked very well.
    Now that I have added The FiOS TV service, I HAVE to use Verizon's Actiontec MI424WR Router. I have set up a static private IP address for the external interface of my ASG (192.168.10.1). In the router configuration, I have 192.168.10.1 set up as the DMZ Host. All inbound traffic is forwarded to the ASG IP Address.
    Everything else works as it did before, EXCEPT L2TP over IPSec.
    Is there some setting I need to change in the ASG machine?
Children
No Data
Cookie Information Banner