Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 55 replies
  • Subscribers 1 subscriber
  • Views 52736 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPsec not work

creativity
Hello All!
I want to understand, VPN IPSec:
If your client machine is behind a Nat device....IPsec will not work
this is true?
If so, then nothing can be done?


This thread was automatically locked due to age.
  • 0 in reply to BarryG
    Do you have both the EXT and INT NICs plugged into the same switch?

    Barry


    external connected to the router
    internal to the switch
    router is connected to the same switch
  • 0
    I think we're all still confused about your topology.

    modem--------computers


    That won't work because you can't have overlapping subnets on different interfaces.  In any case, I don't see why you would have the  in there.

    external connected to the router
    internal to the switch
    router is connected to the same switch

    That can't work because you have both Astaro interfaces connected to the same, physical Ethernet subnet.

    So, if your network knows how to route traffic successfully, we others must not understand what you have.

    Cheers - Bob

  • 0
    I have a question, when a client connects via IPSec, the client must have access to the Internet?
  • 0
    I'm probably wrong to say [:(]
    after the connection Astaro IPSec Client is lost internet
  • 0
    after the connection Astaro IPSec Client is lost internet 

    In your home Astaro, you need a way for traffic to get to the Internet.  You can do this with Packet Filter (Firewall) rules and/or the HTTP/S Proxy. 

    For example, with the Proxy add {192.168.1.0/24} to 'Allowed networks'.

    Cheers - Bob
    PS Pictures and logfile information make understanding easier.
  • 0
    so, I want to share that I could understand
    those who want to use IPSec, but here are the same configuration
    Internet -->cable Modem-->Router-->Astaro-->Computer/s
    it needs to be redirected to the Astaro is not just ports and protocols, but not every router can do it, but! 
    routers is that there is such a thing as a "pass through."
    I have Linksys router WRT54G2, it has
    IPSec Passthrough:
    PPTP Passthrough:
    L2TP Passthrough:
    in the routers in the NAT-engine already include protocols, such as:
    PPTP
    47 GRE General Routing Encapsulation

    L2TP
    115 L2TP Layer Two Tunneling Protocol

    IPSec
    50 ESP Encap Security Payload for IPv6
    51 AH Authentication Header for IPv6

    enable the required protocols
    Security -> VPN ->
    IPSec Passthrough:
    PPTP Passthrough:
    L2TP Passthrough:

    open ports, such as IPSec:
    Applications & Gaming -> Port Range Forward UDP 4500 and 500
    and enjoy ...

    I want to say thanks for helping me BAlfson, Scott_Klassen and BarryG
  • 0
    but still I need help)
    when a client connects, the log file has error
    22.09.2011 21:39:00IPSec: Start building connection
    22.09.2011 21:39:00Ike: Outgoing connect request MAIN mode - gateway=84.108.31.110 : peit
    22.09.2011 21:39:00Ike: XMIT_MSG1_MAIN - peit
    22.09.2011 21:39:01Ike: RECV_MSG2_MAIN - peit
    22.09.2011 21:39:01IPSec: Final Tunnel EndPoint is:084.108.031.110
    22.09.2011 21:39:01Ike: IKE phase I: Setting LifeTime to 7800 seconds
    22.09.2011 21:39:01Ike: IkeSa negotiated with the following properties -
    22.09.2011 21:39:01  Authentication=RSA_SIGNATURES,Encryption=AES,Hash=MD5,DHGroup=5,KeyLen=256
    22.09.2011 21:39:01Ike: peit ->Support for NAT-T version - 9
    22.09.2011 21:39:01Ike: XMIT_MSG3_MAIN - peit
    22.09.2011 21:39:01Ike: RECV_MSG4_MAIN - peit
    22.09.2011 21:39:01Ike: Turning on NATD mode - peit - 3
    22.09.2011 21:39:01Ike: XMIT_MSG5_MAIN - peit
    22.09.2011 21:39:02Ike: XMIT_MSG5_MAIN_RESUME - peit
    22.09.2011 21:39:02Ike: RECV_MSG6_MAIN - peit
    22.09.2011 21:39:02Ike: RECV_MSG6_MAIN_RESUME - peit
    22.09.2011 21:39:02Ike: IkeSa negotiated with the following properties -
    22.09.2011 21:39:02  Authentication=RSA_SIGNATURES,Encryption=AES,Hash=MD5,DHGroup=5,KeyLen=256
    22.09.2011 21:39:02Ike: Turning on DPD mode - peit
    22.09.2011 21:39:02Ike: phase1:name(peit) - connected
    22.09.2011 21:39:02SUCCESS: IKE phase 1 ready
    22.09.2011 21:39:02IPSec: Phase1 is Ready - IkeIndex=41,AltRekey=1
    22.09.2011 21:39:02IkeCfg: XMIT_IKECFG_REQUEST - peit
    22.09.2011 21:39:02IkeCfg: RECV_IKECFG_REPLY - peit
    22.09.2011 21:39:02IkeCfg: name  - enter state open
    22.09.2011 21:39:02SUCCESS: IkeCfg ready
    22.09.2011 21:39:02IPSec: Quick Mode is Ready: IkeIndex = 00000029 , VpnSrcPort = 4500
    22.09.2011 21:39:02IPSec: Assigned IP Address: 10.242.4.1
    22.09.2011 21:39:02IPSec: DNS Server: 192.168.10.100
    22.09.2011 21:39:02IPSec: Domain is: compworld.co.il
    22.09.2011 21:39:02IkeQuick: XMIT_MSG1_QUICK - peit
    22.09.2011 21:39:02IkeQuick: RECV_MSG2_QUICK - peit
    22.09.2011 21:39:02IkeQuick: XMIT_MSG3_QUICK - peit
    22.09.2011 21:39:02IkeQuick: phase2:name(peit) - connected
    22.09.2011 21:39:02SUCCESS: Ike phase 2 (quick mode) ready
    22.09.2011 21:39:02IPSec: Created an IPSEC SA with the following characteristics -
    22.09.2011 21:39:02  IpSrcRange=[10.242.4.1-10.242.4.1],IpDstRange=[0.0.0.0-255.255.255.255],IpProt=0,SrcPort=0,DstPort=0
    22.09.2011 21:39:02IPSec: connected: LifeDuration in Seconds = 2520 and in KiloBytes = 0
    22.09.2011 21:39:02IPSec: Connected to peit on channel 1.
    22.09.2011 21:39:02PPP(Ipcp): connected to peit with IP Address: 10.242.4.1
    22.09.2011 21:39:02SUCCESS: IpSec connection ready
    22.09.2011 21:39:17SUCCESS: Link ->  IP address assigned to IP stack - link is operational.
    22.09.2011 21:39:21Ike: NOTIFY : peit : SENT : NOTIFY_MSG_R_U_HERE : 36136
    22.09.2011 21:39:21Ike: NOTIFY : peit : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK : 36137
    22.09.2011 21:39:41Ike: NOTIFY : peit : SENT : NOTIFY_MSG_R_U_HERE : 36136
    22.09.2011 21:39:41Ike: NOTIFY : peit : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK : 36137
    22.09.2011 21:39:51IkeQuick: phase2:name(peit) - error - deltimer expired
    22.09.2011 21:40:01Ike: NOTIFY : peit : SENT : NOTIFY_MSG_R_U_HERE : 36136
    22.09.2011 21:40:01Ike: NOTIFY : peit : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK : 36137
    22.09.2011 21:40:21Ike: NOTIFY : peit : SENT : NOTIFY_MSG_R_U_HERE : 36136
    22.09.2011 21:40:21Ike: NOTIFY : peit : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK : 36137
    22.09.2011 21:40:41Ike: NOTIFY : peit : SENT : NOTIFY_MSG_R_U_HERE : 36136
    22.09.2011 21:40:41Ike: NOTIFY : peit : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK : 36137
    22.09.2011 21:41:01Ike: NOTIFY : peit : SENT : NOTIFY_MSG_R_U_HERE : 36136
    22.09.2011 21:41:01Ike: NOTIFY : peit : RECEIVED : NOTIFY_MSG_R_U_HERE_ACK : 36137
    and not always connected client displays
  • 0
    really nobody knows what the problem is ?
  • 0
    In post #29, you don't need the packet filter rule and you shouldn't need the masq rule unless there's a configuration error or the "Internal (Address)" is not the default gateway of "Internal (Network)" devices.

    Please show the Astaro log file for the same times as the file in Post #29.

    Cheers - Bob