Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 11746 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN trouble between Checkpoint and Astaro

Mega_Volt
Hello Guys.
I try to configure an VPN between an Astaro Box version 4.0.21 (i think ??) and Checkpoint FW1 NG AI R54 Cluster. I got the following error message at the Checkpoint Box.
IKE: Quick Mode Recieved Notification from Peer: invalid message id.

Any ideas ???

Thank you for your support.

Mega  


This thread was automatically locked due to age.
Parents
  • 0
    For what it's worth my experience with VPN'ing to Checkpoint (from Cisco) stumbled on the way the Checkpoints internal networks had been defined. I wanted a VPN between /24 nets but the Checkpoints internal network had been defined as a /16 There was no way that Checkpoint firewall was going to negotiate less than a /16 without redifining its internal network as multiple /24s
Reply
  • 0
    For what it's worth my experience with VPN'ing to Checkpoint (from Cisco) stumbled on the way the Checkpoints internal networks had been defined. I wanted a VPN between /24 nets but the Checkpoints internal network had been defined as a /16 There was no way that Checkpoint firewall was going to negotiate less than a /16 without redifining its internal network as multiple /24s
Children
  • 0 in reply to MotoMoto
    That is a good point.  I forgot about that little feature in Check Point that makes it decide on its own what size subnet to negotiate the VPN tunnel for.

    A possible way around that problem is to uncheck the option "Support key exchange for subnets" on the Interoperable device, VPN Advanced tab.  That will make Check Point try to negotiate a host-to-host tunnel for each pair that communicate.  If you will have a lot of hosts on each side of the tunnel, you probably do not want to enable that feature.
  • 0 in reply to MotoMoto
    [ QUOTE ]
    For what it's worth my experience with VPN'ing to Checkpoint (from Cisco) stumbled on the way the Checkpoints internal networks had been defined. I wanted a VPN between /24 nets but the Checkpoints internal network had been defined as a /16 There was no way that Checkpoint firewall was going to negotiate less than a /16 without redifining its internal network as multiple /24s 

    [/ QUOTE ]

    I had a problem like this but fortunately, the customer got an advice from his Checkpoint vendor and we solved this. It was something about setting the parameter ike_use_largest_possible_subnets to false, using guidbedit. Perhaps this helps. 

    Regards,
    Stefan
  • 0 in reply to Stefan_
    Thanks for that reply. On monday morning I'll be trying to regain a chunk of address space. Using up a /16 instead of 2 /24s hurts.
Cookie Information Banner