Using other SSL VPN Client that runs as non-admin for Windows 7

You're may interested in this post:

https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/53855

But, this is still far far away from a perfect solution and needs some additional work and testing.

Don't know if it is really so hard to run the SSL VPN as a service and an user can use it with normal user permissions, or if Astaro would more like to sell their IPsec client instead.

Hello,

i think we will use an internal VPN adapter from W7.

What is the best solution for this ? I tried L2TP with certificate (don't want to use PSK) but i don't find a good manual for this.

I can't select the standard signing cert from the ASG. So i generated a cert named IPsecSigning. But when i log onto the User Portal and export my certificate. It is signed from the standard sign cert.

Can anyone help me with the setup please ?

Or which VPN solution should i take from W7 ? There is also one named IKEv2.
I want to work with certificates.


Greets
Stephan

Stephan, the cert you need for the windows L2TP VPN client is the one Astaro generated for your username.  If you login to the Enduser Portal and go to the 'Remote Access' tab, that's the one downloaded.

Cheers - Bob

Yes. I downloaded the cert from the enduser portal.

But there is the possibility to select a cert on the config page. What is this for ? I want to use this solution for about 400 users in the end.

I just want an easy to deploy solution.

Greets
Stephan

The cert on the configuration page probably should be the standard "Local X509 Certificate" which is automatically created when the Astaro is installed.  You can confirm this by checking the 'Advanced' tab of 'IPsec' to see what's in use there.

I don't completely understand why, but I know that it's important for the hostname of the Astaro to be "correct" when using certs for VPNs.  If you already have a VPN of any sort using a cert (IPsec, Cisco, SSL), you're probably OK.

If this is your first use of a cert in Astaro, then you might want to go to 'Certificate Management' to see that the VPN ID is "Hostname" and that the current hostname of the Astaro is there.  If your hostname is not an FQDN, you might have difficulties; if you do, I don't know enough to know any better solution than to change the hostname to something like (assuming you use Mail Security) mail.domain.com, regenerate the Signing CA ('Certificate Management' 'Advanced' tab) and redo the VPN configuration(s).

Cheers - Bob
PS I'm ready to have someone correct me, but I think that your personal private key and the Astaro public key for "Local X509 Certificate" are in the PKCS#12 that you download from the User Portal.

Hello Bob,

i meant L2TP IPsec.
I have a signing cert which i can't change. Because there are already 400 clients using cert signed by this.

Your last sentence is right. They are both included.
But i just don't get it how to configure.

SSL VPN don't work, other configuration isn't explained and i don't want to purchase the client.

For everything else there is a step by step solution but not for W7 and VPNs.
If i managed to get it work i will post one [;)]

Greets
Stephan

See attachment. I can't select "Local CA" here. It's just not there.

Hello,

i hope you can help me with this:

I finally found the "Local X509 Cert" and got my new certificate. I added it as computer cert on my W7 machine.

But i get error 800 and in the log it shows this. Password is the right one.

2010:08:04-11:27:30 fw3str-2 pluto[4998]: "D_REF_ZQTQBmmyVJ"[2] 109.41.144.19 #30550: responding to Main Mode from unknown peer 109.41.144.19
2010:08:04-11:27:30 fw3str-2 pluto[4998]: "D_REF_ZQTQBmmyVJ"[2] 109.41.144.19 #30550: only OAKLEY_GROUP_MODP1024 and OAKLEY_GROUP_MODP1536 supported. Attribute OAKLEY_GROUP_DESCRIPTION
2010:08:04-11:27:30 fw3str-2 pluto[4998]: "D_REF_ZQTQBmmyVJ"[2] 109.41.144.19 #30550: only OAKLEY_GROUP_MODP1024 and OAKLEY_GROUP_MODP1536 supported. Attribute OAKLEY_GROUP_DESCRIPTION
2010:08:04-11:27:30 fw3str-2 pluto[4998]: "D_REF_ZQTQBmmyVJ"[2] 109.41.144.19 #30550: NAT-Traversal: Result using RFC 3947: no NAT detected
2010:08:04-11:27:31 fw3str-2 pluto[4998]: "D_REF_ZQTQBmmyVJ"[2] 109.41.144.19 #30550: Peer ID is ID_DER_ASN1_DN: 'C=de, L=X, O=X, CN=Stephan X, E=X'
2010:08:04-11:27:31 fw3str-2 pluto[4998]: "D_REF_ZQTQBmmyVJ"[2] 109.41.144.19 #30550: crl not found
2010:08:04-11:27:31 fw3str-2 pluto[4998]: "D_REF_ZQTQBmmyVJ"[2] 109.41.144.19 #30550: certificate status unknown
2010:08:04-11:27:31 fw3str-2 pluto[4998]: "D_REF_ZQTQBmmyVJ"[2] 109.41.144.19 #30550: we have a cert and are sending it
2010:08:04-11:27:31 fw3str-2 pluto[4998]: "D_REF_ZQTQBmmyVJ"[2] 109.41.144.19 #30550: sent MR3, ISAKMP SA established
2010:08:04-11:27:31 fw3str-2 pluto[4998]: "D_REF_ZQTQBmmyVJ"[2] 109.41.144.19 #30550: ignoring informational payload, type AUTHENTICATION_FAILED 

What can i do ?

It seems like the W7 notebook is using the right cert. I test it with a 3G connection. But it won't work.

Greets
Stephan

Is your "Stephan (X509 User Cert)" one that you generated yourself, or is it one that was created automatically?  Through trial and error, I discovered that all of the fields must be completed when creating a cetificate, and that you can use 'VPN ID Type' of either "Email address" or "Distinguished name."

Cheers - Bob

It's the one generated by the Astaro.

So i thought that would be the right setting. I can't create them manually because they are using their certificates for ssl vpn right now.

Greets
Stephan