Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 7194 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

L2TP/IPSec behind NAT

MarkusN
Dear experts

I'd like to know it's possible to configure Astaro UTM work behind a NAT firewall and provide L2TP/IPSec remote access. 
During the last week I tried serveral configuration and spend hours in reading manuals and forum postings - w/o success. (I'm a IPSec newbie).

My Configuration:
Win Client  Router  Internet  Router  Astaro

If the Astaro is behind a NAT router I find following in the log and no connection can be made: "cannot respond to IPsec SA request because no connection is known for...."
It works fine if I remove the router in front of the ASA. But this is not possible in my environment.

My Setup:
- Port Forward 500/4500 UDP. Tried also forwarding whole public IP.
- Set AssumeUDPEncapsulationContextOnSendRule=2 in Windows (Gewusst wie: Konfigurieren Sie einen L2TP/IPSec-Server hinter einem NAT-T-Gerät in Windows Vista und Windows Server 2008)
- Tried different Clients (WinXP, Win7, Android Phone)
- Tried Certificate instead of Pre-shared key
- Tried different Routers (Cisco, Netgear)

Is there a supported way to get it work? If not, I'll use SSL-VPN. But I prefer IPSec because of no need to install additional software.

Thanks, Markus


This thread was automatically locked due to age.
Parents
  • 0
    Markus, kein Problem - ich lese gerne Deutsch! [;)]

    Please turn off debug and try again.   That's about the right number of lines from a single connection attempt with debug off.

    From what I see in the above, I wonder if this isn't an issue of IPsec and NAT.  Please show a simple diagram with the (obfuscated if you wish) IPs of each device.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Maybe it's just a silly miss-configuration. 
    Anyway, if it's not a good idea to use L2TP/IPSec in an NATed environment I stop here and use SSL-VPN. But I prefer L2TP/IPSec.

    My Environment:see attachment

    Logs without Debug: 
    2013:09:24-17:18:49 astaro pluto[8944]: added connection description "L_for admin" 

    2013:09:24-17:18:55 astaro pluto[8944]: packet from 100.0.0.1:500: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008] 

    2013:09:24-17:18:55 astaro pluto[8944]: packet from 100.0.0.1:500: received Vendor ID payload [RFC 3947] 

    2013:09:24-17:18:55 astaro pluto[8944]: packet from 100.0.0.1:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] 

    2013:09:24-17:18:55 astaro pluto[8944]: packet from 100.0.0.1:500: ignoring Vendor ID payload [FRAGMENTATION] 

    2013:09:24-17:18:55 astaro pluto[8944]: packet from 100.0.0.1:500: ignoring Vendor ID payload [MS-Negotiation Discovery Capable] 

    2013:09:24-17:18:55 astaro pluto[8944]: packet from 100.0.0.1:500: ignoring Vendor ID payload [Vid-Initial-Contact] 

    2013:09:24-17:18:55 astaro pluto[8944]: packet from 100.0.0.1:500: ignoring Vendor ID payload [IKE CGA version 1] 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[1] 100.0.0.1 #4: responding to Main Mode from unknown peer 100.0.0.1 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[1] 100.0.0.1 #4: ECP_384 is not supported. Attribute OAKLEY_GROUP_DESCRIPTION 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[1] 100.0.0.1 #4: ECP_256 is not supported. Attribute OAKLEY_GROUP_DESCRIPTION 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[1] 100.0.0.1 #4: NAT-Traversal: Result using RFC 3947: both are NATed 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[1] 100.0.0.1 #4: Peer ID is ID_DER_ASN1_DN: 'C=de, L=City, O=MyCompany, CN=admin, E=edv@me.de' 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[1] 100.0.0.1 #4: crl not found 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[1] 100.0.0.1 #4: certificate status unknown 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1 #4: deleting connection "L_for admin"[1] instance with peer 100.0.0.1 {isakmp=#0/ipsec=#0} 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1 #4: we have a cert and are sending it 

    2013:09:24-17:18:55 astaro pluto[8944]: | NAT-T: new mapping 100.0.0.1:500/4500) 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1:4500 #4: sent MR3, ISAKMP SA established 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1:4500 #4: cannot respond to IPsec SA request because no connection is known for 200.0.0.1/32===172.16.0.3:4500[vpn.me.de]:17/1701...100.0.0.1:4500[C=de, L=City, O=Copmany, CN=admin, E=edv@me.de]:17/%any==={192.168.0.85/32} 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1:4500 #4: sending encrypted notification INVALID_ID_INFORMATION to 100.0.0.1:4500 

    2013:09:24-17:18:56 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1:4500 #4: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet) 

    2013:09:24-17:18:56 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1:4500 #4: sending encrypted notification INVALID_MESSAGE_ID to 100.0.0.1:4500 

    2013:09:24-17:18:58 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1:4500 #4: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet) 

    2013:09:24-17:18:58 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1:4500 #4: sending encrypted notification INVALID_MESSAGE_ID to 100.0.0.1:4500 

    2013:09:24-17:19:01 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1:4500 #4: received Delete SA payload: deleting ISAKMP State #4 

    2013:09:24-17:19:01 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1:4500: deleting connection "L_for admin"[2] instance with peer 100.0.0.1 {isakmp=#0/ipsec=#0}
Reply
  • 0 in reply to BAlfson
    Maybe it's just a silly miss-configuration. 
    Anyway, if it's not a good idea to use L2TP/IPSec in an NATed environment I stop here and use SSL-VPN. But I prefer L2TP/IPSec.

    My Environment:see attachment

    Logs without Debug: 
    2013:09:24-17:18:49 astaro pluto[8944]: added connection description "L_for admin" 

    2013:09:24-17:18:55 astaro pluto[8944]: packet from 100.0.0.1:500: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008] 

    2013:09:24-17:18:55 astaro pluto[8944]: packet from 100.0.0.1:500: received Vendor ID payload [RFC 3947] 

    2013:09:24-17:18:55 astaro pluto[8944]: packet from 100.0.0.1:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] 

    2013:09:24-17:18:55 astaro pluto[8944]: packet from 100.0.0.1:500: ignoring Vendor ID payload [FRAGMENTATION] 

    2013:09:24-17:18:55 astaro pluto[8944]: packet from 100.0.0.1:500: ignoring Vendor ID payload [MS-Negotiation Discovery Capable] 

    2013:09:24-17:18:55 astaro pluto[8944]: packet from 100.0.0.1:500: ignoring Vendor ID payload [Vid-Initial-Contact] 

    2013:09:24-17:18:55 astaro pluto[8944]: packet from 100.0.0.1:500: ignoring Vendor ID payload [IKE CGA version 1] 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[1] 100.0.0.1 #4: responding to Main Mode from unknown peer 100.0.0.1 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[1] 100.0.0.1 #4: ECP_384 is not supported. Attribute OAKLEY_GROUP_DESCRIPTION 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[1] 100.0.0.1 #4: ECP_256 is not supported. Attribute OAKLEY_GROUP_DESCRIPTION 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[1] 100.0.0.1 #4: NAT-Traversal: Result using RFC 3947: both are NATed 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[1] 100.0.0.1 #4: Peer ID is ID_DER_ASN1_DN: 'C=de, L=City, O=MyCompany, CN=admin, E=edv@me.de' 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[1] 100.0.0.1 #4: crl not found 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[1] 100.0.0.1 #4: certificate status unknown 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1 #4: deleting connection "L_for admin"[1] instance with peer 100.0.0.1 {isakmp=#0/ipsec=#0} 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1 #4: we have a cert and are sending it 

    2013:09:24-17:18:55 astaro pluto[8944]: | NAT-T: new mapping 100.0.0.1:500/4500) 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1:4500 #4: sent MR3, ISAKMP SA established 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1:4500 #4: cannot respond to IPsec SA request because no connection is known for 200.0.0.1/32===172.16.0.3:4500[vpn.me.de]:17/1701...100.0.0.1:4500[C=de, L=City, O=Copmany, CN=admin, E=edv@me.de]:17/%any==={192.168.0.85/32} 

    2013:09:24-17:18:55 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1:4500 #4: sending encrypted notification INVALID_ID_INFORMATION to 100.0.0.1:4500 

    2013:09:24-17:18:56 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1:4500 #4: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet) 

    2013:09:24-17:18:56 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1:4500 #4: sending encrypted notification INVALID_MESSAGE_ID to 100.0.0.1:4500 

    2013:09:24-17:18:58 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1:4500 #4: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet) 

    2013:09:24-17:18:58 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1:4500 #4: sending encrypted notification INVALID_MESSAGE_ID to 100.0.0.1:4500 

    2013:09:24-17:19:01 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1:4500 #4: received Delete SA payload: deleting ISAKMP State #4 

    2013:09:24-17:19:01 astaro pluto[8944]: "L_for admin"[2] 100.0.0.1:4500: deleting connection "L_for admin"[2] instance with peer 100.0.0.1 {isakmp=#0/ipsec=#0}
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML