Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 3565 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

L2TP VPN with Astaro behind NAT

igritsak
Hi all,

At home I have my Astaro v8 setup as a VM.  The WAN interface of the ASG is an LAN IP behind my D-Link router and the LAN interface of the ASG gives DHCP on a completely separate subnet.  Basically a network in a network.  

Since the ASG's WAN IP is a on my LAN and not the actual Public IP, is there a way I can still VPN using L2TP or SSL VPN to the ASG?  Any forwarding I can do from my D-Link router to the WAN interface of the ASG and then just change the VPN connection IP of the connecting device to the Public IP of my home DSL connection?

Thanks for the help.


This thread was automatically locked due to age.
Parents
  • 0
    Hi Bob,

    Yes, that's pretty much my setup.  

    For the logs below, 192.168.16.3 refers to the LAN IP of the linksys device.  The IP 192.168.20.242 is the WAN IP of the ASG8.  

    -----------------------------
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: received Vendor ID payload [RFC 3947]
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: received Vendor ID payload [Dead Peer Detection]
    2010:12:21-16:36:11 alpha pluto[5027]: "S_REF_SDZfJivAUN"[7] 192.168.16.3:1023 #6: responding to Main Mode from unknown peer 192.168.16.3:1023
    2010:12:21-16:36:11 alpha pluto[5027]: "S_REF_SDZfJivAUN"[7] 192.168.16.3:1023 #6: NAT-Traversal: Result using RFC 3947: both are NATed
    2010:12:21-16:36:11 alpha pluto[5027]: "S_REF_SDZfJivAUN"[7] 192.168.16.3:1023 #6: ignoring informational payload, type IPSEC_INITIAL_CONTACT
    2010:12:21-16:36:11 alpha pluto[5027]: "S_REF_SDZfJivAUN"[7] 192.168.16.3:1023 #6: Peer ID is ID_IPV4_ADDR: '192.168.20.240'
    2010:12:21-16:36:11 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:1023 #6: deleting connection "S_REF_SDZfJivAUN" instance with peer 192.168.16.3 {isakmp=#0/ipsec=#0}
    2010:12:21-16:36:11 alpha pluto[5027]: | NAT-T: new mapping 192.168.16.3:1023/35224)
    2010:12:21-16:36:11 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sent MR3, ISAKMP SA established
    2010:12:21-16:36:12 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: cannot respond to IPsec SA request because no connection is known for 67.224.91.178/32===192.168.20.242:4500[192.168.20.242]:17/1701...192.168.16.3:35224[192.168.20.240]:17/%any==={192.168.20.240/32}
    2010:12:21-16:36:12 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sending encrypted notification INVALID_ID_INFORMATION to 192.168.16.3:35224
    2010:12:21-16:36:15 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xd3ec01fc (perhaps this is a duplicated packet)
    2010:12:21-16:36:15 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sending encrypted notification INVALID_MESSAGE_ID to 192.168.16.3:35224
    2010:12:21-16:36:18 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xd3ec01fc (perhaps this is a duplicated packet)
    2010:12:21-16:36:18 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sending encrypted notification INVALID_MESSAGE_ID to 192.168.16.3:35224
    2010:12:21-16:36:21 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xd3ec01fc (perhaps this is a duplicated packet)
    2010:12:21-16:36:21 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sending encrypted notification INVALID_MESSAGE_ID to 192.168.16.3:35224
    2010:12:21-16:36:24 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xd3ec01fc (perhaps this is a duplicated packet)
    2010:12:21-16:36:24 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sending encrypted notification INVALID_MESSAGE_ID to 192.168.16.3:35224
    2010:12:21-16:36:27 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xd3ec01fc (perhaps this is a duplicated packet)
    2010:12:21-16:36:27 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sending encrypted notification INVALID_MESSAGE_ID to 192.168.16.3:35224
    2010:12:21-16:36:30 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xd3ec01fc (perhaps this is a duplicated packet)
    2010:12:21-16:36:30 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sending encrypted notification INVALID_MESSAGE_ID to 192.168.16.3:35224
    2010:12:21-16:36:33 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xd3ec01fc (perhaps this is a duplicated packet)
    2010:12:21-16:36:33 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sending encrypted notification INVALID_MESSAGE_ID to 192.168.16.3:35224
    2010:12:21-16:36:36 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xd3ec01fc (perhaps this is a duplicated packet)
    2010:12:21-16:36:36 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sending encrypted notification INVALID_MESSAGE_ID to 192.168.16.3:35224
    2010:12:21-16:36:39 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xd3ec01fc (perhaps this is a duplicated packet)
    2010:12:21-16:36:39 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sending encrypted notification INVALID_MESSAGE_ID to 192.168.16.3:35224
    2010:12:21-16:36:42 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: received Delete SA payload: deleting ISAKMP State #6
    2010:12:21-16:36:42 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224: deleting connection "S_REF_SDZfJivAUN" instance with peer 192.168.16.3 {isakmp=#0/ipsec=#0}
    2010:12:21-16:36:42 alpha pluto[5027]: ERROR: asynchronous network error report on eth1 for message to 192.168.16.3 port 35224, complainant 192.168.16.3: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)] 

    ------
Reply
  • 0
    Hi Bob,

    Yes, that's pretty much my setup.  

    For the logs below, 192.168.16.3 refers to the LAN IP of the linksys device.  The IP 192.168.20.242 is the WAN IP of the ASG8.  

    -----------------------------
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: received Vendor ID payload [RFC 3947]
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2010:12:21-16:36:11 alpha pluto[5027]: packet from 192.168.16.3:1023: received Vendor ID payload [Dead Peer Detection]
    2010:12:21-16:36:11 alpha pluto[5027]: "S_REF_SDZfJivAUN"[7] 192.168.16.3:1023 #6: responding to Main Mode from unknown peer 192.168.16.3:1023
    2010:12:21-16:36:11 alpha pluto[5027]: "S_REF_SDZfJivAUN"[7] 192.168.16.3:1023 #6: NAT-Traversal: Result using RFC 3947: both are NATed
    2010:12:21-16:36:11 alpha pluto[5027]: "S_REF_SDZfJivAUN"[7] 192.168.16.3:1023 #6: ignoring informational payload, type IPSEC_INITIAL_CONTACT
    2010:12:21-16:36:11 alpha pluto[5027]: "S_REF_SDZfJivAUN"[7] 192.168.16.3:1023 #6: Peer ID is ID_IPV4_ADDR: '192.168.20.240'
    2010:12:21-16:36:11 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:1023 #6: deleting connection "S_REF_SDZfJivAUN" instance with peer 192.168.16.3 {isakmp=#0/ipsec=#0}
    2010:12:21-16:36:11 alpha pluto[5027]: | NAT-T: new mapping 192.168.16.3:1023/35224)
    2010:12:21-16:36:11 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sent MR3, ISAKMP SA established
    2010:12:21-16:36:12 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: cannot respond to IPsec SA request because no connection is known for 67.224.91.178/32===192.168.20.242:4500[192.168.20.242]:17/1701...192.168.16.3:35224[192.168.20.240]:17/%any==={192.168.20.240/32}
    2010:12:21-16:36:12 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sending encrypted notification INVALID_ID_INFORMATION to 192.168.16.3:35224
    2010:12:21-16:36:15 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xd3ec01fc (perhaps this is a duplicated packet)
    2010:12:21-16:36:15 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sending encrypted notification INVALID_MESSAGE_ID to 192.168.16.3:35224
    2010:12:21-16:36:18 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xd3ec01fc (perhaps this is a duplicated packet)
    2010:12:21-16:36:18 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sending encrypted notification INVALID_MESSAGE_ID to 192.168.16.3:35224
    2010:12:21-16:36:21 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xd3ec01fc (perhaps this is a duplicated packet)
    2010:12:21-16:36:21 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sending encrypted notification INVALID_MESSAGE_ID to 192.168.16.3:35224
    2010:12:21-16:36:24 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xd3ec01fc (perhaps this is a duplicated packet)
    2010:12:21-16:36:24 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sending encrypted notification INVALID_MESSAGE_ID to 192.168.16.3:35224
    2010:12:21-16:36:27 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xd3ec01fc (perhaps this is a duplicated packet)
    2010:12:21-16:36:27 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sending encrypted notification INVALID_MESSAGE_ID to 192.168.16.3:35224
    2010:12:21-16:36:30 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xd3ec01fc (perhaps this is a duplicated packet)
    2010:12:21-16:36:30 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sending encrypted notification INVALID_MESSAGE_ID to 192.168.16.3:35224
    2010:12:21-16:36:33 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xd3ec01fc (perhaps this is a duplicated packet)
    2010:12:21-16:36:33 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sending encrypted notification INVALID_MESSAGE_ID to 192.168.16.3:35224
    2010:12:21-16:36:36 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xd3ec01fc (perhaps this is a duplicated packet)
    2010:12:21-16:36:36 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sending encrypted notification INVALID_MESSAGE_ID to 192.168.16.3:35224
    2010:12:21-16:36:39 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xd3ec01fc (perhaps this is a duplicated packet)
    2010:12:21-16:36:39 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: sending encrypted notification INVALID_MESSAGE_ID to 192.168.16.3:35224
    2010:12:21-16:36:42 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224 #6: received Delete SA payload: deleting ISAKMP State #6
    2010:12:21-16:36:42 alpha pluto[5027]: "S_REF_SDZfJivAUN"[8] 192.168.16.3:35224: deleting connection "S_REF_SDZfJivAUN" instance with peer 192.168.16.3 {isakmp=#0/ipsec=#0}
    2010:12:21-16:36:42 alpha pluto[5027]: ERROR: asynchronous network error report on eth1 for message to 192.168.16.3 port 35224, complainant 192.168.16.3: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)] 

    ------
Children
No Data