Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2496 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problems with Cisco VPN and SNAT

Didel
Hi folks,

I run a UTM 9.02 as Software Appliance at Home. The box is working in bridging mode and the Internet Connection is established through a Speedport 921V making the PPPOE Connection. The UTM sits between the Speedport and my internal clients, all having IP-Adresses from the same subnet. The Default Gateway for the subnet is the Speedport Router.

I configured the Cisco VPN on the UTM and I can connect through my iPad3 to the UTM-Box. The Problem is, that because the default gatway lies on the Speedport, all Connections coming from the Cisco VPN Net did not return to the UTM Box and so i cannot connect to any internal client.

The Idea was to set a SNAT Rule, which maps all Adresses from the Cisco VPN Net trying to reach internal subnet addresses to the IP address of the UTM Box, so that the return route should work.

Problem is, that i can see in the Logs, that the NAT-Rules is hit, but still no connection to internal clients. The same Setup works perfectly for the SSL-VPN, but on IOS i can't use SSL-VPN.

Any ideas, why the nat isn't working with the Cisco VPN?

Thanks in advance for any help.


This thread was automatically locked due to age.
Parents
  • 0
    Didel,

    Does your speedport modem offer the ability to assign a static route on the LAN port?  If so, create a static route that sends all traffic destined for the networks defined in your Remote Access VPN configuration in UTM to the Bridged IP address of Sophos.  This should effectively hairpin route all your traffic from Internal clients destined for your RA VPN clients to the Sophos through the speed port.  This is a lot less messy than using NAT.  Though still not ideal, your local clients will see the original source addresses of the VPN clients.

    If you must use NAT, I would hesitate to do anything other than Masquerading.  If you set up Masquerading from Remote Access VPN Pools -> Bridged Interface it should make all RA VPN client traffic look like the UTM box itself to other hosts on your Internal LAN.

    Overall, your best solution would be to take that thing out of bridge mode and let it have the Public IP from your modem.  But I digress...
  • 0 in reply to ChristopherRuh
    Hello ruhllatio,

    thank you for the quick response.
    Well the modem is a closed system. I can set port forwarding rules for udp and tcp but no static routes. Otherwise this would have also been my preferred solution.

    You are suggesting to use masquerading instead of SNAT. Does the UTM handle Masquerading and SNAT differently? Isn't it the same if I do a SNAT from the Cisco VPN Network to the single IP of the internal UTM interface compared to masquerade the Cisco VPN Network to the internal interface?

    I have to agree with you, that it would be the best, to give the UTM the Public IP directly, but I run not only my Internet connection over the Speedport. I also run VOIP and IPTV over the Speedport and I'm not sure, if I can handle all of it without problems over the UTM box! There is a solution somwhere in the german part of the forum for the German Telekom (which is my ISP), but it requires "hacking" the Astaro and as far as I know it is for Astaro V8 not UTM9.

    Anyway, yesterday I updated my iPad to IOS6 and currently the Cisco VPN isn't working anymore. ;-( The UTM Log shows the following:

    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: received Vendor ID payload [RFC 3947]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: received Vendor ID payload [XAUTH]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [Cisco-Unity]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [FRAGMENTATION 80000000]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: received Vendor ID payload [Dead Peer Detection]
    2012:09:20-13:53:40 hobbit pluto[25201]: "D_for dni to Internal (Network)"[7] 80.187.110.43 #12: responding to Main Mode from unknown peer 80.187.110.43
    2012:09:20-13:53:40 hobbit pluto[25201]: "D_for dni to Internal (Network)"[7] 80.187.110.43 #12: NAT-Traversal: Result using RFC 3947: both are NATed
    2012:09:20-13:53:41 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:53:41 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:53:41 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:53:41 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:53:44 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:53:44 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:53:44 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:53:44 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:53:47 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:53:47 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:53:47 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:53:47 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:53:50 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:53:50 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:53:50 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:53:50 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:53:50 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:53:50 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:53:50 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:53:50 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:54:04 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:54:04 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:54:04 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:54:04 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:54:10 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:54:10 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:54:10 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:54:10 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177 

    I'm afraid I have to wait for a patch either from Sophos or from Apple!
Reply
  • 0 in reply to ChristopherRuh
    Hello ruhllatio,

    thank you for the quick response.
    Well the modem is a closed system. I can set port forwarding rules for udp and tcp but no static routes. Otherwise this would have also been my preferred solution.

    You are suggesting to use masquerading instead of SNAT. Does the UTM handle Masquerading and SNAT differently? Isn't it the same if I do a SNAT from the Cisco VPN Network to the single IP of the internal UTM interface compared to masquerade the Cisco VPN Network to the internal interface?

    I have to agree with you, that it would be the best, to give the UTM the Public IP directly, but I run not only my Internet connection over the Speedport. I also run VOIP and IPTV over the Speedport and I'm not sure, if I can handle all of it without problems over the UTM box! There is a solution somwhere in the german part of the forum for the German Telekom (which is my ISP), but it requires "hacking" the Astaro and as far as I know it is for Astaro V8 not UTM9.

    Anyway, yesterday I updated my iPad to IOS6 and currently the Cisco VPN isn't working anymore. ;-( The UTM Log shows the following:

    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: received Vendor ID payload [RFC 3947]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: received Vendor ID payload [XAUTH]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [Cisco-Unity]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: ignoring Vendor ID payload [FRAGMENTATION 80000000]
    2012:09:20-13:53:40 hobbit pluto[25201]: packet from 80.187.110.43:500: received Vendor ID payload [Dead Peer Detection]
    2012:09:20-13:53:40 hobbit pluto[25201]: "D_for dni to Internal (Network)"[7] 80.187.110.43 #12: responding to Main Mode from unknown peer 80.187.110.43
    2012:09:20-13:53:40 hobbit pluto[25201]: "D_for dni to Internal (Network)"[7] 80.187.110.43 #12: NAT-Traversal: Result using RFC 3947: both are NATed
    2012:09:20-13:53:41 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:53:41 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:53:41 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:53:41 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:53:44 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:53:44 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:53:44 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:53:44 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:53:47 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:53:47 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:53:47 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:53:47 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:53:50 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:53:50 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:53:50 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:53:50 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:53:50 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:53:50 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:53:50 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:53:50 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:54:04 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:54:04 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:54:04 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:54:04 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:54:10 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:54:10 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177
    2012:09:20-13:54:10 hobbit pluto[25201]: packet from 80.187.110.43:60177: next payload type of ISAKMP Message has an unknown value: 132
    2012:09:20-13:54:10 hobbit pluto[25201]: packet from 80.187.110.43:60177: sending notification PAYLOAD_MALFORMED to 80.187.110.43:60177 

    I'm afraid I have to wait for a patch either from Sophos or from Apple!
Children
No Data