Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPsec not work

Hello All!
I want to understand, VPN IPSec:
If your client machine is behind a Nat device....IPsec will not work
this is true?
If so, then nothing can be done?


This thread was automatically locked due to age.
  • IPsec can work.  What do you want to do?

    Cheers - Bob
  • IPsec can work.  What do you want to do?

    Cheers - Bob


    I want to connect a laptop from work to home
    home -astaro
    work - laptop xp/7
  • If the Astaro at home is behind another router/firewall, you'll need to do some forwarding to the Astaro.  UDP ports 500 and 4500 and protocols 50 and 51.  This is dependent on your specific implementation of IPSEC.

    Also, make certain that the tunnel is allowed at your workplace, both by firewall and company policy.
  • At home, it's easiest if your modem is in bridge mode so that the Astaro has a public IP on its External interface.

    If you use the SSL VPN, you need to start the Astaro client with the "Run as administrator" option.

    Cheers - Bob
    PS Use L2TP over IPsec instead of IPsec - that's the built-in Windows VPN client and it works well.
  • port forwarding, I know
    redirect protocol - how it can be?
  • My bold:
    Also, make certain that the tunnel is allowed at your workplace, both by firewall and company policy.

    Excellent catch, Scott.  Just because their firewall allows it, it wouldn't be unusual for there to be a company policy against it.

    creativity, look at the IPsec-AH and IPsec-ESP definitions in 'Definitions >> Services'.

    Cheers - Bob
  • forwarding to the Astaro. UDP ports 500 and 4500 and protocols 50 and 51
    forwarding in the astaro or router ?
  • What is your network topology? Internet --> ?modem? ---> ?Router? ---> Astaro --> home network

    Where is your public IP in your topology?

    Cheers - Bob
  • What is your network topology? Internet --> ?modem? ---> ?Router? ---> Astaro --> home network

    Where is your public IP in your topology?

    Cheers - Bob


    my topology:

    home: cable modem -->router (Linksys WRT54G2) --> Switch -->Astaro (8.103) --> computers
    cable modem = 84.108.xx.***
    router = 192.168.10.0/24
    astaro = external network card - 192.168.10.103, internal network card 192.168.10.102-->computers 192.168.10.2, 192.168.10.3

    work:
    cable modem -->router (Linksys WRT54G2) -->Switch--> computers
    cable modem = 84.94.xx.xx
    router = 192.168.1.0/24-->computers 192.168.1.2, 192.168.1.3 ,....,....,....

    I want to connect a laptop from work to home

    astaro IPSec Client log file
    20.09.2011 22:28:25IPSec: Start building connection
    20.09.2011 22:28:25Ike: Outgoing connect request MAIN mode - gateway=84.108.31.110 : peit
    20.09.2011 22:28:25Ike: XMIT_MSG1_MAIN - peit
    20.09.2011 22:28:47ERROR - 4021: IKE(phase1) - Could not contact Gateway (No response) in state  - peit.
    20.09.2011 22:28:47Ike: phase1:name(peit) - ERROR - retry timeout - max retries
    20.09.2011 22:28:47IPSec: Disconnected from peit on channel 1.
  • cable modem = 84.94.xx.xx

    Do you mean that 84.94.xx.xx is the WAN IP on the Linksys?

    The best solution is to cover up (to prevent its use) the WAN port of the WRT54G2 and move it and your switch behind the Astaro where the WRT54G2 becomes a wireless router.  Also, you'll want to turn off the DHCP service in the Linksys as everything will use the Astaro DHCP.  This leaves you with:
    Internet --> modem ---> Astaro --> home network including WRT54G2 and switch

    You probably need to change the External interface to 'Type:' "Cable modem (DHCP)"

    Cheers - Bob