VPN trouble between Checkpoint and Astaro

I've noticed the same problems with Checkpoint NG-AI R55 and Astaro 4.021.  Like yourself, I do not have the solution yet, but you are not alone on this.

I just moved to v5.01 and will try the connection again and see if it works.

My experience has shown that Checkpoint is the most difficult VPN to interoperate with using any non-Checkpoint product.

same problem with Astaro v5.01

I tried a good number of different combinations, PFS, no PFS, PFS group 1,2,5, 3DES, AES, etc... Nothing seemed to resolve this.

Here are the messages I've captured:
Astaro:
000 "S_Work_0": 192.168.132.0/24===2.2.2.2...1.1.1.1===198.233.4.0/22
000 "S_Work_0":   CAs: '%any'...'%any'
000 "S_Work_0":   ike_life: 7200s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "S_Work_0":   policy: PSK+ENCRYPT+TUNNEL; interface: eth1; unrouted
000 "S_Work_0":   newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0
000 "S_Work_0":   IKE algorithms wanted: 5_000-1-5, flags=-strict
000 "S_Work_0":   IKE algorithms found:  5_192-1_128-5, 
000 "S_Work_0":   ESP algorithms wanted: 3_000-1, flags=strict
000 "S_Work_0":   ESP algorithms loaded: 3_168-1_128, 
000  
000 #1: "S_Work_0" STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 10s

000  
000 "S_Work_0": 192.168.132.0/24===2.2.2.2...1.1.1.1===198.233.4.0/22
000 "S_Work_0":   CAs: '%any'...'%any'
000 "S_Work_0":   ike_life: 7200s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "S_Work_0":   policy: PSK+ENCRYPT+TUNNEL; interface: eth1; erouted
000 "S_Work_0":   newest ISAKMP SA: #1; newest IPsec SA: #2; eroute owner: #2
000 "S_Work_0":   IKE algorithms wanted: 5_000-1-5, flags=-strict
000 "S_Work_0":   IKE algorithms found:  5_192-1_128-5, 
000 "S_Work_0":   IKE algorithm newest: 3DES_CBC_192-MD5-MODP1536
000 "S_Work_0":   ESP algorithms wanted: 3_000-1, flags=strict
000 "S_Work_0":   ESP algorithms loaded: 3_168-1_128, 
000 "S_Work_0":   ESP algorithm newest: 3DES_0-HMAC_MD5; pfsgroup=
000  
000 #2: "S_Work_0" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 2608s; newest IPSEC; eroute owner
000 #2: "S_Work_0" esp.c5d9a734@1.1.1.1 esp.5114a853@2.2.2.2 tun.1002@1.1.1.1 tun.1001@2.2.2.2
000 #1: "S_Work_0" STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 6329s; newest ISAKMP
000  

Checkpoint:
Number:                            87590
Date:                                 10Apr2004
Time:                                 16:01:59
Product:                            VPN-1 & FireWall-1
Interface:                           daemon
Origin:                               checkpoint.domain.net (1.1.1.1)
Type:                                 Log
Action:                               Key Install
Source:                             astaro.site.net (2.2.2.2)
Destination:                      checkpoint.domain.net (1.1.1.1)
Encryption Scheme:         IKE
VPN Peer Gateway:          astaro.site.net (2.2.2.2)
IKE Phase2 Message ID: dae0d219
Community:                      MD5-3DES_PFS_GRP_5
Information:                      IKE: Quick Mode Received Notification from Peer: invalid key information 


Number:                            87595
Date:                                 10Apr2004
Time:                                 16:02:02
Product:                            VPN-1 & FireWall-1
Interface:                           daemon
Origin:                               checkpoint.domain.net (1.1.1.1)
Type:                                 Log
Action:                               Key Install
Source:                             astaro.site.net (2.2.2.2)
Destination:                      checkpoint.domain.net (1.1.1.1)
Encryption Scheme:         IKE
VPN Peer Gateway:          astaro.site.net (2.2.2.2)
IKE Phase2 Message ID: dee47b18
Community:                      MD5-3DES_PFS_GRP_5
Information:                      IKE: Quick Mode Received Notification from Peer: invalid message id

Hi there, 

if you give me your email address, 
i will send you two howto's one for AstaroCheckpoint with PSK and one with X509, they both work,
just the checkpoint is more complex to setup [;)].

We are not allowed to officially post them.

Regards
Gert

Just pulled down the documents from your e-mail and will compare that against my current configuration.  We've found that most non-Checkpoint implementations work fine with FP3 but have had issues with the Checkpoint NG-AI (R55).

Hopefully I've just overlooked something.

I did get a VPN to work successfully between Astaro and Check Point NG R54.  I can only assume it should work with R55 as well.  

I do remember that the phase 1 lifetime was different by default between Check Point and Astaro.  Astaro uses 7800 seconds, so you will need to change either side to match.  When I configured it, I changed it on the Check Point side (which uses minutes instead of seconds, so remember to do the math before entering the lifetime).

Hope that helps.  I don't have test setup to do this again, so I'm just going by memory.

[ QUOTE ]
Hi there, 

if you give me your email address, 
i will send you two howto's one for AstaroCheckpoint with PSK and one with X509, they both work,
just the checkpoint is more complex to setup [;)].

We are not allowed to officially post them.

Regards
Gert 

[/ QUOTE ]
why not?

Hi,
is there a howto for a VPN-Connection between ASL5 and Cisco, vpn3000 or PIX, available?

Firebear

Hi,
is there a howto for a VPN-Connection between ASL5 and Cisco, vpn3000 or PIX, available?

Firebear

we're trying to do a VPN between an ASL 4.022 and a checkpoint NG R55 and we still can't make it work
we put the same lifetimes, authentication methods, encryption algorithms, ...
are there some unsupported modes out there ?