:strip_exif()/u/85127/Iron-Man-Avatar_small.gif?f=community){kind=avatar}
Het verhaal van KPN met hun DPI enz heeft me aan het denken gezet, waarom niet al mijn mobiele netwerk verkeer tunnelen over VPN naar mijn thuis server. Geen probleem, heb al een OpenVPN solution draaien, welke perfect werkt. However, wat wel een probleem is, is dat de meeste smartphones niet OOB met OpenVPN overweg kunnen. Voor de iPhone kan het wel als er een JB is, maar ik heb liever dat het OOB werkt. Dus moet het met L2TP over IPsec. Geen zin om een complexe en potentieel onveilige setup zelf te bouwen, dus ben ik gaan zoeken naar een appliance die ik zo kan runnen op mijn ESX server. Die is er dus. Astaro Security Gateway. Deploy appliance, configure, klaar. Dus niet... 3 avonden bezig geweest, maar ik krijg het niet aan de gang. Vandaar mijn vraag hier.
Mijn setup:
Ziggo > Debian met iptables > Astaro (en de rest van de servers)
Juiste ports voor VPN op de Debian firewall geforward naar de Astaro. Geen probleem.
Enige wat de Astaro bij mij moet doen is het L2TP gedeelte regelen. Dat leek (en is normaal volgens mij) erg makkelijk. Allemaal in een mooie GUI gegoten. Het VPN gedeelte had ik dan ook zo draaiend. Het probleem is dat de Astaro box eigenlijk bedoeld is om als eerste firewall te dienen. Dat wil ik niet, want op mijn Debian doos draait veel meer, en ik wil niet alles gaan forwarden. Wat er dus gebeurt na het runnen van de standaard wizard van Astaro, is dat er 2 NICs gebruikt moeten worden. Daar worden onder water een hoop dingen voor geregeld. Nu kun je dat daarna best weer terug gooien naar 1 NIC, maar dat levert weer allerhande rare dingen op.
Het gedonder begint met het feit dat ASG simpelweg inkomende packets voor VPN blijft droppen. Ook al zijn de juiste rules aanwezig. Uiteindelijk alle rules weg gedonderd, en er een any > any > any rule neer gezet om te testen. Werkt nog steeds niet. Blijft packets droppen. Alles maar weg gegooid, hee, het werkt. Telefoons kunnen connecten. Helaas niet surfen, dus ik denk dat er toch gateway/routing problemen zijn.
Ik denk dat heeft natuurlijk weer te maken met mijn gehack in die netwerk setup om het geheel terug te krijgen naar 1 NIC. Dus terug naar default, 2 NIC's met een local IP geconfigureerd, weer hetzelfde gedonder met droppen van packets. Alle FW rules weer verwijderd om te testen, ding blijft droppen. Er zullen onder water wel nog drop rules actief zijn, maar in de GUI van dat ding zie ik nergens zo'n rule. In de CLI zijn de commando's niet standaard, dus ik zie daar niks.
Nu was ik er gisteravond eigenlijk wel klaar mee, maar het blijft knagen dat ik dit niet aan de gang krijg.
Mijn vraag is dus, heeft er iemand ervaring met ASG achter een NAT? Het lijkt een hele mooie, simpele en stabiele oplossing om L2TP en IPsec aan te bieden. Maar ik heb geen zin om nog avonden te kloten, dan zet ik wel weer een 2K8R2 VM neer, die dit voor me oplost
/edit
Of je pakt de allerlaatste versie. Zelfde config, boem. Werkt meteen. Bug in v7 dus. v8 gaat goed. Nog wat kleine dingetjes, maar dat moet te fiksen zijn.
Mijn setup:
Ziggo > Debian met iptables > Astaro (en de rest van de servers)
Juiste ports voor VPN op de Debian firewall geforward naar de Astaro. Geen probleem.
Enige wat de Astaro bij mij moet doen is het L2TP gedeelte regelen. Dat leek (en is normaal volgens mij) erg makkelijk. Allemaal in een mooie GUI gegoten. Het VPN gedeelte had ik dan ook zo draaiend. Het probleem is dat de Astaro box eigenlijk bedoeld is om als eerste firewall te dienen. Dat wil ik niet, want op mijn Debian doos draait veel meer, en ik wil niet alles gaan forwarden. Wat er dus gebeurt na het runnen van de standaard wizard van Astaro, is dat er 2 NICs gebruikt moeten worden. Daar worden onder water een hoop dingen voor geregeld. Nu kun je dat daarna best weer terug gooien naar 1 NIC, maar dat levert weer allerhande rare dingen op.
Het gedonder begint met het feit dat ASG simpelweg inkomende packets voor VPN blijft droppen. Ook al zijn de juiste rules aanwezig. Uiteindelijk alle rules weg gedonderd, en er een any > any > any rule neer gezet om te testen. Werkt nog steeds niet. Blijft packets droppen. Alles maar weg gegooid, hee, het werkt. Telefoons kunnen connecten. Helaas niet surfen, dus ik denk dat er toch gateway/routing problemen zijn.
Ik denk dat heeft natuurlijk weer te maken met mijn gehack in die netwerk setup om het geheel terug te krijgen naar 1 NIC. Dus terug naar default, 2 NIC's met een local IP geconfigureerd, weer hetzelfde gedonder met droppen van packets. Alle FW rules weer verwijderd om te testen, ding blijft droppen. Er zullen onder water wel nog drop rules actief zijn, maar in de GUI van dat ding zie ik nergens zo'n rule. In de CLI zijn de commando's niet standaard, dus ik zie daar niks.
Nu was ik er gisteravond eigenlijk wel klaar mee, maar het blijft knagen dat ik dit niet aan de gang krijg.
Mijn vraag is dus, heeft er iemand ervaring met ASG achter een NAT? Het lijkt een hele mooie, simpele en stabiele oplossing om L2TP en IPsec aan te bieden. Maar ik heb geen zin om nog avonden te kloten, dan zet ik wel weer een 2K8R2 VM neer, die dit voor me oplost
/edit
Of je pakt de allerlaatste versie. Zelfde config, boem. Werkt meteen. Bug in v7 dus. v8 gaat goed. Nog wat kleine dingetjes, maar dat moet te fiksen zijn.
[Voor 8% gewijzigd door UltraSub op 20-05-2011 13:09]