Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 4648 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Configure Astaro Secure Client to work With Sonicwall firewall?

tomtomek
Hi,

We are using sonicwall for firewall/vpn service between offices. Our employees connect to Soniwall from home using Global VPN Client. There is also a need for a several employees to connect to the Astaro firewall at client permises. As far as I know running two VPN clients on one machine is not really possible - although I have seen a few laptops that worked.

My question is:
Is it possible to configure the ASTARO Client to connect to the Sonicwall Firewall? Or if it is possible to use Global VPN Client for connection to Astaro Firewall (propably not as it is less advanced)?

Any help would be much apprecieated.

Thanks,
Tom


This thread was automatically locked due to age.
  • 0
    Tom, are you wanting to allow them to have simultaneous split tunnels?
  • 0 in reply to BAlfson
    Hi,

    Thanks for your reply. No I don’t want them to work simultaneously. I just want to be able to connect to one network at a time.

    Just trying to find a way of using Astaro with Sonicwall to save problems installing two VPN clients on one machine (as I have mentioned office connections are Sonicwall, client are Astaro). I would like to have one client that would serve both - not at the same time though. Just to be able to connect to either of them using one VPN client software. I think Astaro would be the choice as it is more advanced. The only thing is how to do it?

    So far I have tried configuring the connection with the info I got from the firewall .rcf file that can be imported into the Global VPN client. But with no luck. That’s why I would be very grateful if someone could point me in the right direction on how to configure Astaro with Sonicwall VPN connection profile/details.

    Thanks,
    Tom
  • 0
    Astaro uses Strongswan; perhaps you can find some information there.  Please come back here and link to it if you find a good answer.

    If you want to work through configuring the Sonicwall client with Astaro, please post the log of a failed attempt, pictures of the client configuration and the Astaro configuration.

    Cheers - Bob
  • 0
    Hi all,

    I have managed to successfully configure the Astaro client to connect with the Sonicwall device... but I have one small issue...

    I can connect no problem to the Sonicwall firewall, I authenticate and everything works fine in terms of connecting and staying up.... but I have a problem with the IP address assignment.

    On Sonicwall firewall, the internal Sonicwall DHCP server is disabled, and there is one machine in the network (DC) that acts as a DHCP server for local and for VPN connections.

    In Astaro I have 4 options and I would like to present what’s happening on them:

    1: IKE config mode
    2: local IP address
    3: DHCP over IPSec
    4: manual IP address

    If I choose option 1:
    I get the following error:
    14/09/2009 16:40:08SUCCESS: Ike Extended Authentication is ready
    14/09/2009 16:40:09IkeCfg: XMIT_IKECFG_REQUEST - connection1
    14/09/2009 16:40:10Ike: phase1:name(connection1) - error - Delete indication received

    and it just disconnects

    if I choose option 2:
    Everything works - I can ping other computers in the network (local LAN IP addresses), can browse shares, but need to enter username and password once again when trying to access the share. And IP is not from the poll of DC but it is just private computer interface IP i.e. (192.168.x.x)

    if I choose option 3:
    I get the following error:
    14/09/2009 16:40:57IPSec: connected: LifeDuration in Seconds = 20160 and in KiloBytes = 0
    14/09/2009 16:40:57IPSDIAL:send DHCP_DISCOVER
    14/09/2009 16:41:01IPSDIAL:send DHCP_DISCOVER
    14/09/2009 16:41:06IPSDIAL:send DHCP_DISCOVER
    14/09/2009 16:41:11IPSDIAL:send DHCP_DISCOVER
    14/09/2009 16:41:15Ike: NOTIFY : connection1 : SENT : NOTIFY_MSG_R_U_HERE : 36136
    14/09/2009 16:41:16IPSDIAL:send DHCP_DISCOVER
    14/09/2009 16:41:18Ike: NOTIFY : connection1 : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK : 36137
    14/09/2009 16:41:21IPSec: DHCP request failed
    14/09/2009 16:41:21ERROR - 4019: Timeout waiting for DHCP over IPSEC response.
    14/09/2009 16:41:21IPSec: AUTOMEDIA DETECT - Tried all avaliable media types
    14/09/2009 16:41:21IPSec: Disconnected from connection1 on channel 1.

    when I choose option 4:

    I am able to connect, authenticate etc, I get the manual IP address, but I cannot access or ping other devices in the network.


    The option 2 (local IP address) works for me ... but I would like the Astaro to communicate with the DHCP server and get the address... is there anything in the configuration that could enforce that?

    Thanks and best regards,

    Tom
  • 0
    3. Looks like the respnse is too slow for the standard Astaro Client settings, doesn't it?
    4. This would seem to be either a configuration error in the Sonicwall or you need to choose a correct fixed IP.

    Again, please let us know the tricks you've learned.

    Cheers - Bob
  • 0
    Hi Bob,

    Thanks for the reply,

    re3: I dont think the Sonicwall recognises the request... just my view on it
    re4: The IP is in correct range and it is free (no local computer uses it)

    The tricks I have learned: I have managed to get it 'working' so far by manually configuring the settings for the VPN policy basing on the Sonicwall Global VPN profile [:)]

    Thanks again,
    Tom
  • 0
    3. It would be interesting to see the IPsec log from the Sonicwall, wouldn't it...
    4. That leaves a config error in the Sonicwall - or can you connect with the Sonicwall client from the same PC?

    Cheers - Bob
  • 0
    Hi Bob,

    3. Thats the log from Sonicwall firewall:

    1 09/15/2009 13:47:30.848 Info Authenticated Access User logged out ***.***.19.26, 0, X1 (test.user) ***.***.***.11X, 0, X1 test.user, TCP Port: 0  
    2 09/15/2009 13:47:30.848 Info VPN IKE Received IPSec SA delete request ***.***.19.26, 500 (test.user) ***.***.***.11X, 500 VPN Policy: WAN VPNgroup, SPI:******  
    3 09/15/2009 13:47:05.800 Info VPN IKE IKE negotiation complete. Adding IPSec SA. (Phase 2) ***.***.19.26, 500 (test.user) ***.***.***.11X, 500 VPN Policy: WAN VPNgroup; ESP:3DES; HMAC_SHA1; Lifetime=28800 secs; inSPI:***x; outSPI:***x  
    4 09/15/2009 13:47:05.800 Info VPN IKE IKE Responder: Accepting IPSec proposal (Phase 2) ***.***.19.26, 500 (test.user) ***.***.***.11X, 500 VPN Policy: WAN VPNgroup; 0.0.0.0 / 0.0.0.0 -> ***.***.19.26

    so basically, after successfull authentication the firewall recieves 'IPSec SA delete request'. This happends with DPD off or on.

    4. I dont have Sonicwall client installed on this PC - although it would probably connect fine. I do not want to mess up the config with installing another VPN client.

    Another thing - is there any way of exporting the profile - after configuring everything - from the Astaro Secure Client? Or is the config file stored anywhere so it can be copied?

    Thanks,
    Tom
  • 0
    3. Yes, that would seem to confirm my earlier guess that the Astaro disconnects because it's not receiving the requested DHCP response.
    4. It's not clear to me why it should be problematic to install two different clients, but I've never tried to install two different IPsec clients on a PC.

    Cheers - Bob
  • 0
    Thanks for that, I will try to look into firewall configuration.

    4. If you ever tried to install two different ones at the same time you would see how many problems it can cause. As it is updating TCP/IP stack, it can damage one or both VPN client configurations as I have seen a lot of problems like that and after installing second it is very hard to get any of them to work. A lot of vendors recommend using only one VPN client at a time, thats why I want to get Astaro working with Sonicwall firewall.

    Thanks for your help!