[7.390] Can't Add IPSec Remote Gateway with PSK

This isn't a bug, rather a "feature" of IPSec.  It's a "mistake" that I've made personally, so you aren't alone!

You can only have a single PSK for all Respond-Only IPSec VPNs; that's the reason it wouldn't accept the PSK you tried to assign.  If you have already defined a PSK in Remote Access for IPSec or L2TP over IPSec, just use the same one here.

Cheers - Bob

This isn't a bug, rather a "feature" of IPSec.  It's a "mistake" that I've made personally, so you aren't alone!

You can only have a single PSK for all Respond-Only IPSec VPNs; that's the reason it wouldn't accept the PSK you tried to assign.  If you have already defined a PSK in Remote Access for IPSec or L2TP over IPSec, just use the same one here.

Cheers - Bob

Thanks Bob. I am trying to replicate the functionality we have on our SnapGear router, which lets you do this using Agressive Mode and VPN IDs. I note the Astaro appears to only use Main mode.

I was able to add additional gateways using the same PSK, as suggested. Thanks for the tip. Would be nice if an error message was given, but at least I know now.

Next thing to try will be whether multiple respond only IPSec VPNs will work using PSK. Perhaps they will need the IP address to distinguish them?

Appreciate your help - my knowledge of IPsec is only fairly basic.

Well, I'm no guru with IPSec, but I have done battle with it several times.  It turns out that Aggressive mode is less secure because the key is exchanged in clear text (at least, that's what I recall), I suspect that's why Astaro doesn't support it.

They also suggest using certificates as preferable for site-to-site because that provides better security.  If you are working with a fixed site, maybe you can setup DynDNS so that you can use 'initiate connection' instead of 'Respond only'.

Cheers - Bob

Thanks Bob,

Once I get migrated from the SnapGear and existing stuff working, I'm going to look into doing certificates for better security.

Cya

Astaro doesn't support Aggressive mode due to various security vulnerabilities in that implementation.  As you migrate to Astaro, I do recommend you look at RSA keys or Certs for Security.

Hi,
I had a look and don't think the Billion routers we have at remote sites support anything other thank PSK. Thankfully I have the Astaro doing more than one tunnel, using a single PSK. So it works, but sounds like not perfect from the security stand point.

Since these are fixed, remote sites, I'd recommend you get hooked up with DynDNS (up to five hosts is free) and use 'Initiate connection' mode so you can have different keys for different sites.

Cheers - Bob