Net 2 Net VPN with Astaro and Zywall10

again hello

I'm near to believe that ZyWall and Astaro wont work together because of an incompatibility?! Is this possible?!
I can't find any error in my config...

is there anybody out there (pink floyd, the wall) who can provide some help?

thanx
eldorado

hi all

here the aprox. solution for this configuration, for al those who have the same challenge:

http://www.zyxel.com/support/supportnote/zywall/app/zw_freeswan.htm

This solution is not stable, sometimes it works sometime not. mostly it works just after you enabled in webadmin the VPN connection.

to clarify:
the tunnel itself is up and running, but the 2 networks are not allways reachable each other.

most important is to configure in ZyWall a "Subnet" and not a "Range", and "keyingtries=" u can leave as it is default in ASL's ipsec.conf-default (0).

perhabs any other has more experience and can give more tips??!!

thanx and greetings
eldorado

Hi Eldorado,

we spent a lot of time investigating, reviewing and testing equipment before we made our final decision. In this process, we also tried to connect 2 Zyxels (one with each other and Zyxel/Astaro).

I have to say that you are already one step further than we came. We never managed to get a tunnel working between FreeS/WAN (Astaro) and the Zyxels. So tho the support was good and friendly (Zyxel Germany and America), we looked for other solutions.

In the end, we opted against the Zyxels (we had in mind to use a Zywall100 in our office and smaller ones (ZyWall1 or -10) elsewhere), and we decidied to use the Astaro at the office - a decision we never regretted so far.

As to 'compatible' products:

Try the SnapGear family of small & inexpensive routers. They run an embedded Linux themselves (called ucLinux) on a Motorola Coldfire CPU, and like the Astaro, they use FreeS/WAN. The real cool thing about that is that you can even use RSA authentication instead of pre-shared keys. And they are a bit cheaper than the ZyWalls anyway, so it's (in my humble experience) the best possible solution at the moment.

HTH,
Wolfgang

hello Wolfgang

thanx a lot for your hint, I will have a look at the SnapGear Family.

I constatatet now that the tunnel is working if the connetion is initiated from the LAN where the ZyWall is installed, but not working if the connection is initiatet from ASTARO's side. Strange thinks....

I would like to get the tunnel working so I could work more at home connecting me with my office, but unfortunately they have a ZyWall, perhabs I can tell in the office to install a snapgear...

will trie this in any case

thanx and greetings
eldorado

eldorado, 
I am using a Zywall 10 at the office and an ASL box at home. I can connect using VPN and browse either network from either side of the connection. I use ADSL at home with DHCP and SDSL at work with a static IP. My work network private IP is 192.168.1.* Home private network is 192.168.0.* This works much better when the subnet addresses are different. This setup is fine for either static or DHCP on the remote side. You would change the 0.0.0.0 to the Static IP of the remote if you wanted to be more secure

The Zywall is setup as follows:
Name: Whatever 
Key Management: IKE  
Negotiation Mode: Main 
Local: 
Address Type: Subnet Address
IP Address Start: 192.168.1.0  
End / Subnet Mask: 255.255.255.0
Remote : Address Type: Range Address
IP Address Start: 0.0.0.0
End / Subnet Mask: 0.0.0.0
My IP Address: Zywall Static IP a.b.c.d
Secure Gateway Addr: 0.0.0.0
Encapsulation Mode: Tunnel
ESP
Encryption Algorithm: 3DES
Authentication Algorithm: SHA1
PreSharedKey: whatever I choose

Advanced button
Protocol: 0
Enable Replay Detection: NO
ports: all set to 0
Phase 1 
Negotiation Mode     Main  
Pre-Shared Key: whatever I choose      
Encryption Algorithm: 3DES  
Authentication Algorithm: MD5  
SA Life Time (Seconds): 28800      
Key Group: DH2
Phase 2
Active Protocol: ESP 
Encryption Algorithm: 3DES  
Authentication Algorithm: SHA1  
SA Life Time (Seconds): 28800      
Encapsulation: Tunnel  
Prefect Forward Secrecy(PFS): NONE 

On the ASL side
Networks: 
1. create an entry with a single IP that is the remote gateway a.b.c.d mask is 255.255.255.255
2. create an entry with a subnet that is the remote subnet 192.168.1.0 mask is 255.255.255.0

edit 3des settings to match your key lifetimes
edit PSK to create the PSK to match the Zywall
Create a new IPSEC connection
Choose all of the settings to match the Zywall settings. Use the network definitions in the IPSEC settings. keying retries = 3

 
Packet filter: 
1. allow the remote IP to ASL external IP 
2. allow remote subnet to local subnet

This is not the best visual for the setup so if anyone needs clarification shoot me an email (in my profile)

by the way:
000 #1: "Domis__VPN__CNSD_1" STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 27806s; newest ISAKMP
This means that the VPN is established but your packet filter (see above) is preventing communication between the subnets.

I've become pretty proficient at the following VPN tools: SSH Sentinel, Smoothwall, ASL, Zywall, so if anyone has any questions about these endpoints let me know.
-tom

hi tom

thanx for your answer.

something unclear:

  

 keying retries = 3 

To set in IPSEC.conf-default??

  

 Packet filter: 
1. allow the remote IP to ASL external IP  

The remote Secure Gateway or the remote Subnet??

  

 Packet filter: 
2. allow remote subnet to local subnet 

Don't I need the otherway also?? Local-Subnet Remote-Subnet??

thanx a lot
eldorado

hi tom

thanx for your answer.

something unclear:

  

 keying retries = 3 

To set in IPSEC.conf-default??

  

 Packet filter: 
1. allow the remote IP to ASL external IP  

The remote Secure Gateway or the remote Subnet??

  

 Packet filter: 
2. allow remote subnet to local subnet 

Don't I need the otherway also?? Local-Subnet Remote-Subnet??

thanx a lot
eldorado

eldorado hope this clears it up:
Definitions:
Remote = Zywall side
Local = ASL side

"something unclear:
keying retries = 3" 
Disregard the keying retries. Sorry about that, that was for my Smoothwall setup. I was answering at work from memory.

"Packet filter: 
1. allow the remote IP to ASL external IP
The remote Secure Gateway or the remote Subnet??"

The Remote IP is the statically assigned WAN IP of the Zywall 10. Setup in Definitions:Networks as a single IP address

"Packet filter: 
2. allow remote subnet to local subnet"
"Don't I need the otherway also?? Local-Subnet Remote-Subnet??"

My Rule #1 is allow any traffic from the local LAN outbound which I setup by default. I don't block any outbound traffic.

Packet Filter Rules
1. eth0_Network__  Any  Any  Allow  

/edit
on the Zywall telnet menu 24.8 command mode
ipsec timer chk_conn default is 5 minutes 
after 5 minutes of inactivity the VPN will drop. Set this to 0 for never or up to a max of 255 minutes.
command is: ipsec timer chk_conn 0 or 255 or something in between.
/edit

-tom
 
 [size="1"][ 07 October 2002, 13:22: Message edited by: tomt ][/size]

hey tom

again thanx a lot. It seams to work more stable now.

there is still something unclear:

  

 allow the remote IP to ASL external IP 

I did not make this Filter but its working.
For what do I need this rule? I think ASL makes this rule itself. Otherwise I would see some dropt packets in FilterLiveLog.

Thanx for your great help

greetings from switzerland
eldorado

eldorado
Glad you were able to get this to work. You can now browse both sides of the VPN?
I set the packet filter to allow the remote gateway so that I can do some remote admin stuff when the VPN is not established. The rule is actually set to allow traffic between the remote gateway and my home LAN to connect to services on the network behind the ASL. To establish my VPN from work I have to VNC to my home LAN client then https to the ASL and start the VPN. I can not start the VPN (dial, in command mode) from the Zywall side to home because my VPN rule is set for connection FROM DHCP sites (home). Sorry for any confusion. 
By the way Switzerland is great, I had stayed in Geneva in '97, drove through the Swiss Alps and Mont Blanc. One of the clients at my old job was Franklin College.
-tom

hello tom

yes, it works now from both sides!
both sides have static IP's, so I can connect from home to work or from work to home.

from both sides it needs one or two pings to establish the connection but after then it works good.

no confusion, you have dynamic IP at home, so you can only open up the tunnel from home.

Ja, switzerland is beautifull, but now it's becomming colder and colder....., the winter is comming.

again thanx a lot

eldorado