Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 1543 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NET to NET between 2 ASL 4.021

pasclinaui
Cannot establish any tunnel (psk,rsa ) with this log:

000  
000 "net__to__net__01_1": 10.0.0.0/24===2xx.2xx.15x.50...2xx.2xx.17x.186===10.0.2.0/24
000 "net__to__net__01_1":   CAs: '%any'...'%any'
000 "net__to__net__01_1":   ike_life: 7800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "net__to__net__01_1":   policy: PSK+ENCRYPT+TUNNEL; interface: eth2; unrouted
000 "net__to__net__01_1":   newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0
000 "net__to__net__01_1":   IKE algorithms wanted: 5_000-1-5, flags=-strict
000 "net__to__net__01_1":   IKE algorithms found:  5_192-1_128-5, 
000 "net__to__net__01_1":   ESP algorithms wanted: 3_000-1, flags=-strict
000 "net__to__net__01_1":   ESP algorithms loaded: 3_168-1_128, 
000  
000 #1: "net__to__net__01_1" STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 35s
000 #2: "net__to__net__01_1" STATE_MAIN_R1 (sent MR1, expecting MI2); EVENT_RETRANSMIT in 32s
000  

I have 1 ASL 25ip behind a Cisco 1700 & 1 ASL 10ip behind a zyxel prestige 650 series, everything with static ip ;

no way to have a tunnel working ! any suggestion ?

both side with generic packet filter rule (just to start...)

Thanks in advance !

Alex.


This thread was automatically locked due to age.
Parents
  • 0
    Are the Cisco and the Zyxel NATing?

    cu
    Walter
  • 0 in reply to wk_03
    Only zyxel nats because I've only one public ip for that device;

    As I post in a separate trhead, this is my layout:

    - 1 remote site equipped with an ASL 4.021 10ip using an ADSL with a 6 ip public subnet.

    - 1 central site equipped with an ASL 4.021 25ip using:
    * (a) ADSL with 1 public ip (for generic surfing for the lan)
    * (b) HDSL with a 6 ip public subnet (for a VPN connection to remote site)

    Here is the problem:

    1) I've configured internal nic (eth0) of ASL with a private ip and ARP on: everything is ok.
    2) I've set-up a second interface (eth1 = EXTERNAL_ADSL) with a different private ip, connected to ADSL router; in this way I have router natting & ASL natting too: defining masquerading rule everything is ok and my lan can access the Internet.

    3) I've set-up a third interface (eth2 = EXTERNAL_HDSL) with one of my public ip, connected to HDSL router; in this way I have HDSL router bridging traffic on ASL eth2, without natting; when I turn on this eth2, no way to see any VPN tunnel. After this I turned off for awhile eth1 (EXTRENAL_ADSL interface) and I restarted VPN: my tunnel came up strong & clear, with remote site; If I reactivate eth1, my VPN tunnel stops working.

    Please anybody could tell me where I'm wrong ? ISP said me that everything is ok !

    Maybe there is some routing problem ... but I'm a newbie.

    Thank in advance for any suggestion !

    Alex
  • 0 in reply to pasclinaui
    Site-to-site IPsec won't work through NATs, since the packet checksums won't match when the addresses in the packet headers are changed via network address translation. Both ends therefore need to be using real world, regularly routed IP addresses.
  • 0 in reply to VelvetFog
    hmm... but then what is the setting "nat-traversal" for? acording to the documentation this is exactly used for ipsec through nat. on the other hand, if i understood the problem right, the interface that is used for ipsec has an official ip-address.
  • 0 in reply to ref
    I'd like to know that to. As i can remember the NAT-T option is to bypass a NATed firewall into the LAN. Although i still didn't get it to work.
Reply Children
  • 0 in reply to reytinghamdi
    Hi there ref, 

    the ipsec should work, even if there is nat on the way.
    I am sorry but i didn't understand your setup completly, 

    Could you be a little bit more verbose.

    Please add what you configured in Network > Interfaces, Network >
     Routing and IPSec Connections.

    This  is needed in order to understand the routing problem.

    If you have Proxy Arp on, plz disable it, as it is not needed in your setup.

    regards
    Gert
Cookie Information Banner