Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 1835 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Use Astaro site-to-site with VPN proxy service?

LazLong
Can I use Astaro's site-to-site VPN with an IPSEC VPN proxy provider/service?


This thread was automatically locked due to age.
Parents
  • 0
    As long as you can get the settings exactly the same on both ends, it should work.

    Barry
  • 0 in reply to BarryG
    As long as you can get the settings exactly the same on both ends, it should work.

    Barry


    Yeah, that's what I thought. But getting the settings the same isn't proving so easy. What I have is an IPSec vpn proxy service that provides a certificate and then authenticates you with an ID and password. It works with Window XP+ built-in IPSec connectivity. Unfortunately I haven't been able to get it working with Astaro.

    Here are the steps I took and the settings I used.

    First I imported the VPN service's cert. The password I used is correct.



    Next I set up the remote gateway. I enabled XAUTH and used the ID and password pair Giganews' XP VPN instructions give.



    Then I created the IPSec connection. I chose the "Microsoft Windows" policy using the logic that I'm using Giganews' XP instructions.



    After saving the connection settings Astaro enables the connection.



    However, the Dashboard's Site-to-Site VPN tunnel status shows the following (sorry, can't use an image as the board only allows four images per post).

    SA:  10.8.26.0/24=10.8.26.254  138.199.67.149=0.0.0.0/0
    VPN ID: dikobraz.tanstaafl.cc
    Error: No connection

    Here is the log output when I enable the IPSec connection on the 'Connections' tab of the IPSec Dashboard:

    2011:09:12-23:52:53 dikobraz ipsec_starter[9698]: Starting strongSwan 4.4.1git20100610 IPsec [starter]...
    2011:09:12-23:52:53 dikobraz pluto[9705]: Starting IKEv1 pluto daemon (strongSwan 4.4.1git20100610) THREADS VENDORID CISCO_QUIRKS
    2011:09:12-23:52:53 dikobraz pluto[9705]: loaded plugins: curl ldap aes des blowfish serpent twofish sha1 sha2 md5 random x509 pubkey pkcs1 pgp dnskey pem sqlite hmac gmp xauth attr attr-sql resolve 
    2011:09:12-23:52:53 dikobraz pluto[9705]:   including NAT-Traversal patch (Version 0.6c)
    2011:09:12-23:52:53 dikobraz pluto[9705]: Using Linux 2.6 IPsec interface code
    2011:09:12-23:52:53 dikobraz ipsec_starter[9704]: pluto (9705) started after 20 ms
    2011:09:12-23:52:53 dikobraz pluto[9705]: loading ca certificates from '/etc/ipsec.d/cacerts'
    2011:09:12-23:52:53 dikobraz pluto[9705]:   loaded ca certificate from '/etc/ipsec.d/cacerts/REF_BgjAvdUcuF.pem'
    2011:09:12-23:52:53 dikobraz pluto[9705]:   loaded ca certificate from '/etc/ipsec.d/cacerts/REF_CaVerGiganCertVerif.pem'
    2011:09:12-23:52:53 dikobraz pluto[9705]: loading aa certificates from '/etc/ipsec.d/aacerts'
    2011:09:12-23:52:53 dikobraz pluto[9705]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
    2011:09:12-23:52:53 dikobraz pluto[9705]: Changing to directory '/etc/ipsec.d/crls'
    2011:09:12-23:52:53 dikobraz pluto[9705]: loading attribute certificates from '/etc/ipsec.d/acerts'
    2011:09:12-23:52:53 dikobraz pluto[9705]: listening for IKE messages
    2011:09:12-23:52:53 dikobraz pluto[9705]: adding interface eth1/eth1 10.8.26.254:500
    2011:09:12-23:52:53 dikobraz pluto[9705]: adding interface eth1/eth1 10.8.26.254:4500
    2011:09:12-23:52:53 dikobraz pluto[9705]: adding interface eth0/eth0 108.83.100.13:500
    2011:09:12-23:52:53 dikobraz pluto[9705]: adding interface eth0/eth0 108.83.100.13:4500
    2011:09:12-23:52:53 dikobraz pluto[9705]: adding interface lo/lo 127.0.0.1:500
    2011:09:12-23:52:53 dikobraz pluto[9705]: adding interface lo/lo 127.0.0.1:4500
    2011:09:12-23:52:53 dikobraz pluto[9705]: adding interface lo/lo ::1:500
    2011:09:12-23:52:53 dikobraz pluto[9705]: loading secrets from "/etc/ipsec.secrets"
    2011:09:12-23:52:53 dikobraz pluto[9705]:   loaded private key from 'REF_TcKJTYwUSK.pem'
    2011:09:12-23:52:53 dikobraz pluto[9705]:   loaded XAUTH secret for smbrannon C=US ST=Texas L=Austin O=Giganews-Inc CN=giganews-client E=admin@giganews.com 
    2011:09:12-23:52:53 dikobraz pluto[9705]:   loaded host certificate from '/etc/ipsec.d/certs/REF_TcKJTYwUSK.pem'
    2011:09:12-23:52:53 dikobraz pluto[9705]:   loaded host certificate from '/etc/ipsec.d/certs/REF_IpsX501_ea40c07a.pem'
    2011:09:12-23:52:53 dikobraz pluto[9705]: added connection description "S_REF_IpsSitGiganVpnUk_0"
    2011:09:12-23:52:53 dikobraz pluto[9705]: "S_REF_IpsSitGiganVpnUk_0" #1: initiating Main Mode
    2011:09:12-23:52:53 dikobraz pluto[9705]: added connection description "X_REF_IpsSitGiganVpnUk_0"
    2011:09:12-23:52:53 dikobraz pluto[9705]: added connection description "X_REF_IpsSitGiganVpnUk_1"
    2011:09:12-23:52:53 dikobraz pluto[9705]: added connection description "X_REF_IpsSitGiganVpnUk_2"
    2011:09:12-23:52:53 dikobraz pluto[9705]: added connection description "X_REF_IpsSitGiganVpnUk_3"


    I tried pinging the remote gateway from my desktop machine and got a return. A tracert shows traffic hitting the ASG (it's my router) and then my ISP's router, and not the Giganews VPN. Grrr...

    Next I changed the remote gateway's "Remote Networks" setting to the built-in "Internet IPv4" definition and restart the IPSec connection and there was no change.

    I'm stumped. Anyone have any suggestions?
Reply
  • 0 in reply to BarryG
    As long as you can get the settings exactly the same on both ends, it should work.

    Barry


    Yeah, that's what I thought. But getting the settings the same isn't proving so easy. What I have is an IPSec vpn proxy service that provides a certificate and then authenticates you with an ID and password. It works with Window XP+ built-in IPSec connectivity. Unfortunately I haven't been able to get it working with Astaro.

    Here are the steps I took and the settings I used.

    First I imported the VPN service's cert. The password I used is correct.



    Next I set up the remote gateway. I enabled XAUTH and used the ID and password pair Giganews' XP VPN instructions give.



    Then I created the IPSec connection. I chose the "Microsoft Windows" policy using the logic that I'm using Giganews' XP instructions.



    After saving the connection settings Astaro enables the connection.



    However, the Dashboard's Site-to-Site VPN tunnel status shows the following (sorry, can't use an image as the board only allows four images per post).

    SA:  10.8.26.0/24=10.8.26.254  138.199.67.149=0.0.0.0/0
    VPN ID: dikobraz.tanstaafl.cc
    Error: No connection

    Here is the log output when I enable the IPSec connection on the 'Connections' tab of the IPSec Dashboard:

    2011:09:12-23:52:53 dikobraz ipsec_starter[9698]: Starting strongSwan 4.4.1git20100610 IPsec [starter]...
    2011:09:12-23:52:53 dikobraz pluto[9705]: Starting IKEv1 pluto daemon (strongSwan 4.4.1git20100610) THREADS VENDORID CISCO_QUIRKS
    2011:09:12-23:52:53 dikobraz pluto[9705]: loaded plugins: curl ldap aes des blowfish serpent twofish sha1 sha2 md5 random x509 pubkey pkcs1 pgp dnskey pem sqlite hmac gmp xauth attr attr-sql resolve 
    2011:09:12-23:52:53 dikobraz pluto[9705]:   including NAT-Traversal patch (Version 0.6c)
    2011:09:12-23:52:53 dikobraz pluto[9705]: Using Linux 2.6 IPsec interface code
    2011:09:12-23:52:53 dikobraz ipsec_starter[9704]: pluto (9705) started after 20 ms
    2011:09:12-23:52:53 dikobraz pluto[9705]: loading ca certificates from '/etc/ipsec.d/cacerts'
    2011:09:12-23:52:53 dikobraz pluto[9705]:   loaded ca certificate from '/etc/ipsec.d/cacerts/REF_BgjAvdUcuF.pem'
    2011:09:12-23:52:53 dikobraz pluto[9705]:   loaded ca certificate from '/etc/ipsec.d/cacerts/REF_CaVerGiganCertVerif.pem'
    2011:09:12-23:52:53 dikobraz pluto[9705]: loading aa certificates from '/etc/ipsec.d/aacerts'
    2011:09:12-23:52:53 dikobraz pluto[9705]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
    2011:09:12-23:52:53 dikobraz pluto[9705]: Changing to directory '/etc/ipsec.d/crls'
    2011:09:12-23:52:53 dikobraz pluto[9705]: loading attribute certificates from '/etc/ipsec.d/acerts'
    2011:09:12-23:52:53 dikobraz pluto[9705]: listening for IKE messages
    2011:09:12-23:52:53 dikobraz pluto[9705]: adding interface eth1/eth1 10.8.26.254:500
    2011:09:12-23:52:53 dikobraz pluto[9705]: adding interface eth1/eth1 10.8.26.254:4500
    2011:09:12-23:52:53 dikobraz pluto[9705]: adding interface eth0/eth0 108.83.100.13:500
    2011:09:12-23:52:53 dikobraz pluto[9705]: adding interface eth0/eth0 108.83.100.13:4500
    2011:09:12-23:52:53 dikobraz pluto[9705]: adding interface lo/lo 127.0.0.1:500
    2011:09:12-23:52:53 dikobraz pluto[9705]: adding interface lo/lo 127.0.0.1:4500
    2011:09:12-23:52:53 dikobraz pluto[9705]: adding interface lo/lo ::1:500
    2011:09:12-23:52:53 dikobraz pluto[9705]: loading secrets from "/etc/ipsec.secrets"
    2011:09:12-23:52:53 dikobraz pluto[9705]:   loaded private key from 'REF_TcKJTYwUSK.pem'
    2011:09:12-23:52:53 dikobraz pluto[9705]:   loaded XAUTH secret for smbrannon C=US ST=Texas L=Austin O=Giganews-Inc CN=giganews-client E=admin@giganews.com 
    2011:09:12-23:52:53 dikobraz pluto[9705]:   loaded host certificate from '/etc/ipsec.d/certs/REF_TcKJTYwUSK.pem'
    2011:09:12-23:52:53 dikobraz pluto[9705]:   loaded host certificate from '/etc/ipsec.d/certs/REF_IpsX501_ea40c07a.pem'
    2011:09:12-23:52:53 dikobraz pluto[9705]: added connection description "S_REF_IpsSitGiganVpnUk_0"
    2011:09:12-23:52:53 dikobraz pluto[9705]: "S_REF_IpsSitGiganVpnUk_0" #1: initiating Main Mode
    2011:09:12-23:52:53 dikobraz pluto[9705]: added connection description "X_REF_IpsSitGiganVpnUk_0"
    2011:09:12-23:52:53 dikobraz pluto[9705]: added connection description "X_REF_IpsSitGiganVpnUk_1"
    2011:09:12-23:52:53 dikobraz pluto[9705]: added connection description "X_REF_IpsSitGiganVpnUk_2"
    2011:09:12-23:52:53 dikobraz pluto[9705]: added connection description "X_REF_IpsSitGiganVpnUk_3"


    I tried pinging the remote gateway from my desktop machine and got a return. A tracert shows traffic hitting the ASG (it's my router) and then my ISP's router, and not the Giganews VPN. Grrr...

    Next I changed the remote gateway's "Remote Networks" setting to the built-in "Internet IPv4" definition and restart the IPSec connection and there was no change.

    I'm stumped. Anyone have any suggestions?
Children
No Data