Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 4663 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Establishing remote access VPN

ColinB
Hi All,
I'm trying to set up remote access VPN to my home LAN which is protected by an Astaro UTM 9.x gateway. I'm wanting to use L2TP over IPsec but can't get the link to establish through my external NIC. Using the same settings (except to change the VPN to 'internal interface') I can establish a stable VPN via the LAN side of the gateway. I've tried disabling as amny security feature as I can think of and have set up a rule for allow 'anything to anywhere' but it's got me beat!
I've copied in the VPN logs in the hope that it means something to someone...
Thanks,
Colin

(PS - sorry this will look like War & Peace)

External interface (WAN) – can’t establish VPN

CandCB pluto[21248]: loading secrets from "/etc/ipsec.secrets" 
CandCB pluto[21248]: loaded PSK secret for 88.104.166.168 %any 
CandCB pluto[21248]: forgetting secrets 
CandCB pluto[21248]: loading secrets from "/etc/ipsec.secrets" 
CandCB pluto[21248]: loaded PSK secret for 88.104.166.168 %any 
CandCB pluto[21248]: loading ca certificates from '/etc/ipsec.d/cacerts' 
CandCB pluto[21248]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem' 
CandCB pluto[21248]: loading aa certificates from '/etc/ipsec.d/aacerts' 
CandCB pluto[21248]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts' 
CandCB pluto[21248]: loading attribute certificates from '/etc/ipsec.d/acerts' 
CandCB pluto[21248]: Changing to directory '/etc/ipsec.d/crls' 
CandCB pluto[21248]: "S_for RemoteUser": deleting connection 
CandCB pluto[21248]: "S_for RemoteUser": deleting connection 
CandCB pluto[21248]: added connection description "S_for RemoteUser" 
CandCB pluto[21248]: added connection description "S_for RemoteUser" 
CandCB pluto[21248]: packet from 88.104.166.254:500: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000004] 
CandCB pluto[21248]: packet from 88.104.166.254:500: ignoring Vendor ID payload [FRAGMENTATION] 
CandCB pluto[21248]: packet from 88.104.166.254:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] 
CandCB pluto[21248]: packet from 88.104.166.254:500: ignoring Vendor ID payload [Vid-Initial-Contact] 
CandCB pluto[21248]: "S_for RemoteUser"[1] 88.104.166.254 #67: responding to Main Mode from unknown peer 88.104.166.254 
CandCB pluto[21248]: packet from 88.104.166.254:500: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000004] 
CandCB pluto[21248]: packet from 88.104.166.254:500: ignoring Vendor ID payload [FRAGMENTATION] 
CandCB pluto[21248]: packet from 88.104.166.254:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] 
CandCB pluto[21248]: packet from 88.104.166.254:500: ignoring Vendor ID payload [Vid-Initial-Contact] 
CandCB pluto[21248]: "S_for RemoteUser"[1] 88.104.166.254 #68: responding to Main Mode from unknown peer 88.104.166.254 
CandCB pluto[21248]: packet from 88.104.166.254:500: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000004] 
CandCB pluto[21248]: packet from 88.104.166.254:500: ignoring Vendor ID payload [FRAGMENTATION] 
CandCB pluto[21248]: packet from 88.104.166.254:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] 
CandCB pluto[21248]: packet from 88.104.166.254:500: ignoring Vendor ID payload [Vid-Initial-Contact] 
CandCB pluto[21248]: "S_for RemoteUser"[1] 88.104.166.254 #69: responding to Main Mode from unknown peer 88.104.166.254 
CandCB pluto[21248]: packet from 88.104.166.254:500: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000004] 
CandCB pluto[21248]: packet from 88.104.166.254:500: ignoring Vendor ID payload [FRAGMENTATION] 
CandCB pluto[21248]: packet from 88.104.166.254:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] 
CandCB pluto[21248]: packet from 88.104.166.254:500: ignoring Vendor ID payload [Vid-Initial-Contact] 
CandCB pluto[21248]: "S_for RemoteUser"[1] 88.104.166.254 #70: responding to Main Mode from unknown peer 88.104.166.254 
CandCB pluto[21248]: packet from 88.104.166.254:500: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000004] 
CandCB pluto[21248]: packet from 88.104.166.254:500: ignoring Vendor ID payload [FRAGMENTATION] 
CandCB pluto[21248]: packet from 88.104.166.254:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] 
CandCB pluto[21248]: packet from 88.104.166.254:500: ignoring Vendor ID payload [Vid-Initial-Contact] 
CandCB pluto[21248]: "S_for RemoteUser"[1] 88.104.166.254 #71: responding to Main Mode from unknown peer 88.104.166.254 
CandCB pluto[21248]: packet from 88.104.166.254:500: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000004] 
CandCB pluto[21248]: packet from 88.104.166.254:500: ignoring Vendor ID payload [FRAGMENTATION] 
CandCB pluto[21248]: packet from 88.104.166.254:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] 
CandCB pluto[21248]: packet from 88.104.166.254:500: ignoring Vendor ID payload [Vid-Initial-Contact] 
2012:12:06-19:35:15 CandCB pluto[21248]: "S_for RemoteUser"[1] 88.104.166.254 #72: responding to Main Mode from unknown peer 88.104.166.254 
2012:12:06-19:35:22 CandCB pluto[21248]: packet from 88.104.166.254:500: ignoring Delete SA payload: not encrypted 

Internal interface – VPN works fine
CandCB pluto[21248]: packet from 192.168.0.99:500: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000004] 
CandCB pluto[21248]: packet from 192.168.0.99:500: ignoring Vendor ID payload [FRAGMENTATION] 
CandCB pluto[21248]: packet from 192.168.0.99:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] 
CandCB pluto[21248]: packet from 192.168.0.99:500: ignoring Vendor ID payload [Vid-Initial-Contact] 
CandCB pluto[21248]: "S_for RemoteUser"[1] 192.168.0.99 #73: responding to Main Mode from unknown peer 192.168.0.99 
CandCB pluto[21248]: "S_for RemoteUser"[1] 192.168.0.99 #73: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected 
CandCB pluto[21248]: "S_for RemoteUser"[1] 192.168.0.99 #73: Peer ID is ID_IPV4_ADDR: '192.168.0.99' 
CandCB pluto[21248]: "S_for RemoteUser"[1] 192.168.0.99 #73: sent MR3, ISAKMP SA established 
CandCB pluto[21248]: "S_for RemoteUser"[1] 192.168.0.99 #74: responding to Quick Mode 
CandCB pluto[21248]: "S_for RemoteUser"[1] 192.168.0.99 #74: IPsec SA established {ESP=>0x4a5b7498  WAITCTLCONN 
CandCB openl2tpd[25731]: PROTO: tunl 11823: SCCCN received from peer 1 
CandCB openl2tpd[25731]: FSM: CCE(11823) event SCCCN_ACCEPT in state WAITCTLCONN 
CandCB openl2tpd[25731]: FUNC: tunl 11823 up 
CandCB openl2tpd[25731]: FSM: CCE(11823) state change: WAITCTLCONN --> ESTABLISHED 
CandCB openl2tpd[25731]: PROTO: tunl 11823/0: ICRQ received from peer 1 
CandCB openl2tpd[25731]: PROTO: tunl 11823/19360: sending ICRP to peer 1/1 
CandCB openl2tpd[25731]: PROTO: tunl 11823/19360: ICCN received from peer 1 
CandCB pppd-l2tp[5852]: Plugin aua.so loaded. 
CandCB pppd-l2tp[5852]: AUA plugin initialized. 
CandCB pppd-l2tp[5852]: Plugin ippool.so loaded. 
CandCB pppd-l2tp[5852]: Plugin pppol2tp.so loaded. 
CandCB pppd-l2tp[5852]: pppd 2.4.5 started by (unknown), uid 0 
CandCB pppd-l2tp[5852]: using channel 23 
CandCB pppd-l2tp[5852]: Using interface ppp1 
CandCB pppd-l2tp[5852]: Connect: ppp1  
CandCB pppd-l2tp[5852]: Overriding mtu 1500 to 1380 
CandCB pppd-l2tp[5852]: PPPoL2TP options: lnsmode tid 11823 sid 19360 debugmask 0 
CandCB pppd-l2tp[5852]: Overriding mru 1500 to mtu value 1380 
CandCB pppd-l2tp[5852]: sent [LCP ConfReq id=0x1    ]


This thread was automatically locked due to age.
  • 0
    Hi, please post screenshots of your VPN configuration on the firewall.

    Barry
  • 0
    Hi, Colin, and welcome to the User BB!

    Also, tell us if your External interface has a public IP or is behind a NATting router.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Barry & Bob,

    Firstly, thank you both for your offers of help. I've attacked screen shots of the various sections that I think may be relevant.

    My system uses a DreyTek Vigor120 ADSL - PPoE bridge modem with the ISP credentials managed by the ASG. I tried to VPN over the internet but couldn't get the connection. I can get a VPN connection from within my internal LAN. I then put an unmanaged switch between the ASG & Vigor and attached another PC to the switch with the intent to rule out any internet issues. I gave this PC a static IP (no gateway) in the same range as the ASG and made sure this couldn't reach the internet. Then I tried to VPN to the ASG, the results of which are in the original post but again failed.
    As the attachments are limited to 5 per post, I'll add another post with the remaining screen shots.

    Thanks to you both, and anyone else who can help.
    Colin
  • 0
    My system uses a DreyTek Vigor120 ADSL - PPoE bridge modem with the ISP credentials managed by the ASG

    So the modem is in bridge mode and the UTM has a public IP on its External interface.  Good, that eliminates a lot of problems!

    If you want to be able to browse via Web Filtering when connected via L2TP, you'll need to add "VPN Pool (L2TP)" to 'Allowed networks'.  If you want to get out with HTTPS, etc., you'll want to change that Firewall rule to something like 'VPN Pool (L2TP) -> Any -> Any : Allow', and you'll need a masq rule like 'VPN Pool (L2TP) -> External'.

    Your Application Control rule only affects VPN traffic passing through the UTM, not that to one of the device's own VPN servers.

    When you had the PC on the External interface, could you ping it from the UTM?  Could it ping the UTM's External interface?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,
    I thought I was 'starting simple' by not going for browsing via VPN etc... I've just tried pinging;
    From gateway on external interface, PC responds to Gateway ping when given static IP in same range as the ISP assigned public IP. Gateway doesn't respond to PC even though 'Gateway is ping visible'.
    Thanks,
    Colin

    Addendum, Had an additional thought and tried to ping the external DynDNS address from inside my LAN & the ASG replied. Don't know what this means though given that it didn't reply when ping'ing from between the ASG & modem.
  • 0
    Gateway doesn't respond to PC even though 'Gateway is ping visible'.

    What happens if you disconnect the DreyTek and assign the PC the IP of the UTM's default gateway?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    I've done as suggested and disconnected the Dreytek and put a PC in with the same address as the ASG 'DEFAULT gw' is reporting (88 etc.) Pinging from the ASG reports desintation unreachable. I then tried setting the PC IP to the static IP assigned in the Dreytek (192.168.1.1, ASG external interface card is 192.168.1.2) and that too reported as unreachable. Don't think it will add much but have attached screen shots of the interface config and the ping output.
    Probably my lack of IT knowledge, but I'm finding this very confusing!

    Thanks,
    Colin
  • 0
    Notice that the interface got reset to 0.0.0.0/0.  I think you can just put everything back.  I bet your VPN will work just fine when trying from some other location.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    Don't know why the interface reset to 0.0.0.0 but suspect it could have been whilst I was logged into the Vigor modem. Anyway, by the time I'd read your post it had reverted back to a real IP. I've tried to establish a VPN via the internet today but it failed again.

    Whilst having a trawl of the web, I found that the MTU value on the external interface was higher than my ISP recommends (1492 Vs 1432). I've reduced it to the recommended but, at least from inside my home, it doesn't seem to have made any difference.

    Any suggestions?
    Thanks,
    Colin