Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1059 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASL-to-ASL howto

martindw
Has anyone, anywhere, developed a step-by-step howto of the requirements to do an ASL-to-ASL VPN?  There are descriptions of the various pieces in the manual, but not how they all fit together or when which is needed.  The old VPN howto in the docs section concentrates on roadwarrior setups; I can't find help for two ASL boxes.

More to the point, my ASL setup has two boxes, I've set keys, VPNs, and Filter rules; I see routes defined, but I can't ping from one network to the other.  I don't know what's wrong or how to diagnose it.

Any pointers will be appreciated!

Dan  


This thread was automatically locked due to age.
Parents
  • 0
    I could probably write one but I'm lazy.  Prob take me a while to get around to it.

    Does 1 or both ends of your VPN have a static IP ?

    What I did was:
    Define all the network stuff you need in definitions-network first.
    ie:
    Red interfaces of both ASL boxen
    Internal private IP ranges for both nets. ie 192.168.1.X for Network A and 192.168.2.X for Network B (subst your private LAN IP's here).

    Leave certificates till you are confident.
    Generate keys for both boxes.
    Swap keys between the boxes.
    Define the VPN link using above definitions and remote IPSec keys.
    Try testing with Blowfish, its fast and secure and simple.

    See if you can ping once you activate the links.

    I might get around to posting a more in-depth how-to.
     
  • 0 in reply to Simon Shaw
    That's exactly the steps I took (Blowfish is even the algorithm I selected) and no, I can't ping.  I then did one more step of opening filters from internal-to-internal on each end. . .still nothing.

    And yes, they're both static IPs  
  • 0 in reply to martindw
    maybe you should post some output of the ipsec log from both firewalls... e.g.: stop ipsec on both machines, check logs for timestamp, start it on both machines and post the 'new' messages here..

    /marce 
  • 0 in reply to Marcel_01
    Actually, it turned out it was my own stupidity at work here.  I was setting this box up in a test environment but using it partially on a network that had a *real* subnet that was to be replaced by the ASL box. . .in other words, both were on the 192.168.1.x address scheme.  This meant that my routing commands on the live network precluded pinging my test network.  Once I corrected the obvious oversight (by deleting routes on my test machine) everything worked fine.

    Sorry for the false alarm!    
Reply
  • 0 in reply to Marcel_01
    Actually, it turned out it was my own stupidity at work here.  I was setting this box up in a test environment but using it partially on a network that had a *real* subnet that was to be replaced by the ASL box. . .in other words, both were on the 192.168.1.x address scheme.  This meant that my routing commands on the live network precluded pinging my test network.  Once I corrected the obvious oversight (by deleting routes on my test machine) everything worked fine.

    Sorry for the false alarm!    
Children
No Data
Cookie Information Banner