VPN trouble between Checkpoint and Astaro

For what it's worth my experience with VPN'ing to Checkpoint (from Cisco) stumbled on the way the Checkpoints internal networks had been defined. I wanted a VPN between /24 nets but the Checkpoints internal network had been defined as a /16 There was no way that Checkpoint firewall was going to negotiate less than a /16 without redifining its internal network as multiple /24s

That is a good point.  I forgot about that little feature in Check Point that makes it decide on its own what size subnet to negotiate the VPN tunnel for.

A possible way around that problem is to uncheck the option "Support key exchange for subnets" on the Interoperable device, VPN Advanced tab.  That will make Check Point try to negotiate a host-to-host tunnel for each pair that communicate.  If you will have a lot of hosts on each side of the tunnel, you probably do not want to enable that feature.

That is a good point.  I forgot about that little feature in Check Point that makes it decide on its own what size subnet to negotiate the VPN tunnel for.

A possible way around that problem is to uncheck the option "Support key exchange for subnets" on the Interoperable device, VPN Advanced tab.  That will make Check Point try to negotiate a host-to-host tunnel for each pair that communicate.  If you will have a lot of hosts on each side of the tunnel, you probably do not want to enable that feature.