Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 2248 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site VPN

Mountainman
Hi Board.

I have at problem with site to site VPN (ASL Ver 4.25)

I'm having a Direct Internet connection in both ends with static IP-addresses. In one end i have a Cisco 827 with NAT.
I think this is where my problem is since IP-address 10.0.0.2 is th external interface on ASL which goes to internal interface 10.0.0.1 on the Cisco 827 which has the external IP-address YYY.YYY.YYY.YYY

The IPsec log in the NAT end says:
000  
000 "SITE1": 192.168.1.0/24===10.0.0.2...XXX.XXX.XXX.XXX===192.168.2.0/24
000 "SITE1":   CAs: '%any'...'%any'
000 "SITE1":   ike_life: 7800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "SITE1":   policy: RSASIG+ENCRYPT+TUNNEL; interface: eth0; unrouted
000 "SITE1":   newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0
000 "SITE1":   IKE algorithms wanted: 5_000-1-5, flags=-strict
000 "SITE1":   IKE algorithms found:  5_192-1_128-5, 
000 "SITE1":   ESP algorithms wanted: 3_000-1, flags=-strict
000 "SITE1":   ESP algorithms loaded: 3_168-1_128, 
000  
000 #1: "SITE1" STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 31s
000  

The IPsec log in the direct end says:
000  
000 "SITE2": 192.168.2.0/24===XXX.XXX.XXX.XXX...YYY.YYY.YYY.YYY===10.0.0.2/32
000 "SITE2":   CAs: '%any'...'%any'
000 "SITE2":   ike_life: 7800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "SITE2":   policy: RSASIG+ENCRYPT+TUNNEL; interface: eth1; unrouted
000 "SITE2":   newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0
000 "SITE2":   IKE algorithms wanted: 5_000-1-5, flags=-strict
000 "SITE2":   IKE algorithms found:  5_192-1_128-5, 
000 "SITE2":   ESP algorithms wanted: 3_000-1, flags=-strict
000 "SITE2":   ESP algorithms loaded: 3_168-1_128, 
000  
000 #4: "SITE2" STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 14s
000

The live log says:
2005-Mar 21 22:31:38 (none) pluto[23983]: packet from YYY.YYY.YYY.YYY:4500: initial Main Mode message received on XXX.XXX.XXX.XXX:4500 but no connection has been authorized
2005-Mar 21 22:32:17 (none) pluto[23983]: packet from YYY.YYY.YYY.YYY:4500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2005-Mar 21 22:32:17 (none) pluto[23983]: packet from YYY.YYY.YYY.YYY:4500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2005-Mar 21 22:32:17 (none) pluto[23983]: packet from YYY.YYY.YYY.YYY:4500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]

How can I solve this problem ????
I don't know a lot about the Cisco, but I can surely try if anybody can point me in the right direction...

THX 

Mountainman


This thread was automatically locked due to age.
Parents
  • 0
    just set "Dynamic IP" for "remote endpoint" on Astaro. Then the NAT thing should work. Also make sure IPsec passthrough is disabled on the cisco. (Maybe the function is named different.)

    Xeno
Reply
  • 0
    just set "Dynamic IP" for "remote endpoint" on Astaro. Then the NAT thing should work. Also make sure IPsec passthrough is disabled on the cisco. (Maybe the function is named different.)

    Xeno
Children
  • 0 in reply to Xeno
    That did no difference other than difference in the logs.
    It keeps repeating: 

    2005-Mar 30 10:49:26 (none) pluto[24562]: "SITE1" #5: we require peer to have ID 'YYY.YYY.YYY.YYY', but peer declares '10.0.0.2'
    2005-Mar 30 10:49:26 (none) pluto[24562]: "SITE1" #5: sending notification INVALID_ID_INFORMATION to YYY.YYY.YYY.YYY:18178
    2005-Mar 30 10:49:36 (none) pluto[24562]: "SITE1" #5: Main mode peer ID is ID_IPV4_ADDR: '10.0.0.2'
    2005-Mar 30 10:49:36 (none) pluto[24562]: "SITE1" #5: we require peer to have ID 'YYY.YYY.YYY.YYY', but peer declares '10.0.0.2'
    2005-Mar 30 10:49:36 (none) pluto[24562]: "SITE1" #5: sending notification INVALID_ID_INFORMATION to YYY.YYY.YYY.YYY:18178
    2005-Mar 30 10:49:55 (none) pluto[24562]: "SITE1" #5: Main mode peer ID is ID_IPV4_ADDR: '10.0.0.2'
    2005-Mar 30 10:49:55 (none) pluto[24562]: "SITE1" #5: we require peer to have ID 'YYY.YYY.YYY.YYY', but peer declares '10.0.0.2'
  • 0 in reply to Mountainman
    The VPN identifier is not set correctly on your cisco. Try the following command on your Cisco.
    isakmp identity address THE_RIGHT_VPN_ID (probaly your external IP address)
    This will set the identifier, ASL is waiting for.
    /bagira
Cookie Information Banner