Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 4088 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Newbie VPN Help 3G behind NAT

aaron451
Hi 

Hope some one can help me, im new to astaro and only know just enough about VPN!!

I have the following scenario to accomplish before my 30 day trial is up [:S]

We have sarian/digi 3g routers out in the field which are on Vodafone UK with a private natted IP

The astaro software server is using dynamic DNS service 

I can access the admin webpage from the outside world and browse the internet from the second NIC.  The astaro is connected via a netgear router with Default DMZ setup and no firewall rules for the IP 

Astaro WAN 192.168.0.5 ***x.dyndns.org
Astaro LAN 192.168.2.100

3G router LAN 192.168.10.0

I believe nat-t as to be used to create a VPN connection when the 3g router is behind a NAT from vodafone.

I have tried this setup with a netgear firewall/vpn router and only ever get as far as sending mesage 2 stage 1 of ipsec - i dont think the netgear supports nat-t which is why im trying astaro.

Can anyone give any pointers or is there specific documents available for this type of setup any help would be appreciated

thanks in advance


This thread was automatically locked due to age.
Parents
  • 0
    Please show the IPsec log lines leading up to and including the failure message.  Remember to obfuscate your public IPs like: 238.xx.yy.97.  Also, since the public IPs aren't shown in your diagram, be sure to tell us the location of the IPs in the log lines.

    Can you bridge the netgear so that you're only using it for a modem, and thereby put the public IP on the Astaro?

    Cheers - Bob
Reply
  • 0
    Please show the IPsec log lines leading up to and including the failure message.  Remember to obfuscate your public IPs like: 238.xx.yy.97.  Also, since the public IPs aren't shown in your diagram, be sure to tell us the location of the IPs in the log lines.

    Can you bridge the netgear so that you're only using it for a modem, and thereby put the public IP on the Astaro?

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Hi Balfson

    You mention the netgear again, this was an FVS328 Firewall box i was trying to use originally (with no success) instead of ASG.  at present the netgear dg834g is on an ADSL line , i have the ASG server on the back of this, with ASG set for DYNDNS service and the netgear as default dmz pointing to the ASG IP.  so i presume in effect that the changing IP provided to the netgear adsl connection is utilised so to speak with the dyndns service on the asg.

    The sarian 3g routers are given a natted ip address from the mobile data provider (vodafone 10.x.x.x). so i cant use dyndns on the 3g connection.

    I have now looked into this a bit more (although not getting anywhere)

    I have configured the policies/ipsec connections on the asg to the best of my knowledge.

    The sarian i have been told needs to use aggresive mode/nat-t to get through the vodafone NAT.  in my asg logs when aggressive mode is enable i get the following log

    unsupported exchange type ISAKMP_XCHG_AGGR
    sending notification UNSUPPORTED_EXCHANGE_TYPE to 212.183.140.*** (*** keeps changing presumably because of the vodafone servers)

    So my guess here is asg doesnt support Aggressive mode.  If idisable aggressive mode on the sarian i get nothing in the logs in ASG, does this mean the sarian isnt sending anything out because of vodafones NAT.

    If your willing to help i can setup teamviewer on both the ASG and Sarian to help configure it [:D] 

    Thanks for your time

    Aaron
    [:$][:$]
  • 0 in reply to aaron451
    Further info off sarian 3g router

    the preshared keys are configured in the users section which is basically username / password (PSK)

    Thanks again