Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1182 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASL 4.009 and Cisco PIX 506 (Ver. 6.3(1)) ?

HansDampf
Hi,

was anybody able to setup a IPsec VPN between ASL 4.009 and Cisco PIX 506 (Ver. 6.3(1)) ?

I was able to setup the VPN, but I am not able to see each other networks.

From network A(staro) in can only ping machines of the other network C(isco), if I ommit the option -I . A plain ping would get no reply. "ip route" tells me, that the the IP of the outside interface would be used.

From network C I can only access the inside interface of the Astaro-firewall, not even machines within the same network of this interface.

What am I doing wrong ? Anybody got a hint ?
I've read http://docs.astaro.org/older_versions/ASL-V2.0/docs_v2/astaro-cisco-ipsec.pdf , but it did not help me very much, because as far as I can see, my setup is almost like in that description...

Thank you !
Armin  


This thread was automatically locked due to age.
Parents
  • 0
    HansDampf,

    the external IP of the firewall is not included in the Security Association (SA)
    so a normal ping fails per definition.

    Assuming ICMP forward as wel as ICM on firewall is activated only a routing
    issue can be left. Is A(staro) in your setup the default gateway for the hosts
    behind it? If not you'd need a static route either on the device under testing
    or on your default gateway.

    Greetings
    cyclops  
Reply
  • 0
    HansDampf,

    the external IP of the firewall is not included in the Security Association (SA)
    so a normal ping fails per definition.

    Assuming ICMP forward as wel as ICM on firewall is activated only a routing
    issue can be left. Is A(staro) in your setup the default gateway for the hosts
    behind it? If not you'd need a static route either on the device under testing
    or on your default gateway.

    Greetings
    cyclops  
Children
  • 0 in reply to cyclops
    thanks for your reply, cyclpos !

    Yes, it must be a routing problem, as the "VPN Routes" in the connection overview tells me that the tunnel is up.
    (Yes, everything in ICMP is open right now)

    My setup looks -like this:

    localnet  (router  - if aaa.aaa.aaa.1/27 ) (if aaa.aaa.aaa.5/27 - ASL - if external)  internet  (if external - PIX - if ccc.ccc.ccc.1/24)  remotenet

    -The router has a route for ccc.ccc.ccc.0/24 to ASL on if aaa.aaa.aaa.5/27.
    -ASL has a default route to the external interface (or better to the DSL-modem), and routes for all the networks the router is connected to, pointing to the router.
    - All the machines in the remotenet have the internal if ccc.ccc.ccc.1 of the PIX as their default gw.

    The "VPN routes" on ASL tell me
    aaa.aaa.aaa.0/27:0    -> ccc.ccc.ccc.0/24:0  => tun0x104e@(if external on PIX):0

    a routes -n tells me

    (if ASL external/nm) dev eth1  scope link 
    (if ASL external/nm) dev ipsec0  proto kernel  scope link  src (if ASL external) 
    aaa.aaa.aaa.0/27 dev eth0  scope link
    ccc.ccc.ccc.0/24 via (ip DSL-modem) dev ipsec0 
    (localnet/nm) via aaa.aaa.aaa.1 dev eth0 
    127.0.0.0/8 dev lo  scope link 
    default via (ip DSL-modem) dev eth1

    There are two packet filter rules that allow traffic from localnet to remotenet and the other way round.

    I verified the setup of the PIX via a Nortel Contivity. Using the same setup there I am able to create the tunnel and the subnets are connected.

    But this does not work with the ASL. I have no idea of what I should do ...

    Yesterday I was at least able to ping from the remotenet to the internal interface of ASL, but not today any more. It seems that all I am doing makes it even worse :-(

    Can somebody help me ?
    (If somebody of Astaro is reading this: I am very willing to buy ASL for my company, but I have to convince my boss. It would be of great help if we could fix this problem very soon).

    Best regards,
    Armin  
  • 0 in reply to HansDampf
    please contact support@astaro.com and refer to this posting.

    read u
    o|iver  
  • 0 in reply to oliver.desch
    Thank you, Oliver !

    I did send a mail to the support but I didn't receive a reply or a ticket number so far ....

    Armin  
Cookie Information Banner