Net to Net IPSEC with Linksys?

Jack1,

Did you ever have any luck with this???????????

I have a had a different set of issues when dealing with Astaro and Linksys.  Before I upgraded my Linksys firmware, I was able to create a VPN and was able to communicate using the connection.  However, after one hour, the re-negotiation would fail, and it was necessary to manually re-connect. 

After I upgraded the firmware, I changed the settings on the Linksys (now that there is a second page of settings).  I chose 1024-bit for both Phase 1 and 2 (which I believe is the lowest supported in FreeSWAN??).  I chose Main Mode, 3DES, MD5, PFS.  I selected PFS also on the Astaro box.  Now the IPSec negotiations are flawless, but no traffic goes over the IPSec connection.  The routes exist in my routing table, but the packets go nowhere.  And, yes, I do have packet filter rules allowing traffic between these networks.

Thanks in advance,

Brent

I can't get this working either. The Astaro can 'appear' as if there is a connection, but the linksys Tunnel always shows disconnected.  This is driving me nuts. Anyone who has this working let me know!

Dave

I'm about to try this soon.  I have a small business LAN behind my home BEFSR41.  I currently use NT/RRAS to tunnel quite nicely into my office.  The only downside to this configuration is that my office cannot establish the VPN to my home, but the other way works fine.  I'm testing Astaro now to see how that will work as a replacement to the aging NT boxes I have on both ends.  Here's my 2 cents.

First, there is explicit mention of IPSec in the Linksys manual.  "VPNs that use IPSec with the ESP (Encapsulation Security Payload known as
protocol 50) authentication will work fine. At least one IPSec session will work through the Router; however, simultaneous IPSec sessions may be possible, depending on the specifics of your VPNs.  VPNs that use IPSec and AH (Authentication Header known as protocol 51) are incompatible with the router. AH has limitations due to occasional incompatibility with the NAT standard."

I'm not real clear on how our intended ASL IPSec usage fares against that.  I'm also not sure whether the single session means a single tunnel or a single host.  I may need more than one tunnel between the same public IP addresses in order to overcome the lack of support for routing foreign networks over the IPsec tunnel -- something which is handily supported by NT/RRAS.

I've another plan in case it doesn't work.  Could you not connect the ASL box directly to the Internet and provide a DMZ interface on the ASL to connect to the Linksys?  For me the inconvenience of this plan would be the lack of DHCP support, which may be remedial through the old hack, and the failure of that DHCP hack to receive and transmit the ISP's DNS addresses.

Another question I forgot to ask was whether you had tried using the DMZ feature of the Linksys on the ASL?

I really have to get some sleep, but I did a little more reading on the linksys site.  My BEFSR41 only has Firmware level 1.39.  Here's a line item from the 1.42.3 level:

5. Support for multi-IPSec pass-through

I was unable to locate any clear explanation for this sentence either on linksys.com or in google, but it does sound like the right stuff.  

I'll play with this stuff another day.

To clarify, David, both ends of my connections do show connected.  The logs on both ends suggest that nothing went wrong in the negotiation of the tunnel.  Are you using the most recent firmware, because your issues sound closer to what I was experiencing before I upgraded the firmware and tweaked the settings?

Brent

I am also using masquerading for the network behind the Astaro box.  Is this perhaps the problem?  If I use masquerading and VPN, is there any special configuration that needs to be done?

Brent

Ok.  Compiling various bits of knowledge from the freeswan and iptables sites, it seems to be the case that I would have to exclude the remote network from the masquerading rule.  They suggest something akin to the following:

iptables -t nat -A POSTROUTING -o eth0 -d \! 10.0.0.0/8 -j MASQUERADE

where the internal addresses are masqueraded for all destinations except the defined network.  

Is this possibly related to my issue?

drbile not that this is going to help right now but it's more for your information.  I have a very similar setup and I am seeing the same problem.  I can integrate my astaro to freeswan no issue but when the connection come up between the linksys and astaro no traffic goes between the two.  Seems to be very strange.