Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 3553 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site VPN with Cisco VPN concentrator

BarryG
Hi, there are several threads here over the years, and a couple of brief articles in the knowledge base, but I can't find a detailed explanation of how to get ASL working with a Cisco VPN concentrator.

Can anyone provide more details?

We're running 6.2x

Thanks,
Barry


This thread was automatically locked due to age.
Parents
  • 0
    What are you stuck on? If you are comfortable sharing the information what are you using for your policy?

    If it is a custom policy what are your ISAKMP and IPSEC settings?

    I haven't worked with the concentrator but i have worked with Astaro systems connecting to Cisco Pix.
  • 0 in reply to g0es
    We're not using a custom policy on the Cisco right now... just trying the Cisco GUI...
    Used MD5, not SHA,
    Tried AES with 168 and 256 bit,
    Tried 3DES, 
    ...

    I can't find an explanation of the difference in all the choices in the ASL config... I'm using the PSK doc from the knowledgebase, but it shows using AES_PFS, but other docs here say do NOT use PFS with Cisco, so I'm trying to find an authoritative doc for setting this up.

    Do I need to create a new IPSEC POLICY in ASL, or will one of the built-in ones work?

    Thanks,
    Barry
Reply
  • 0 in reply to g0es
    We're not using a custom policy on the Cisco right now... just trying the Cisco GUI...
    Used MD5, not SHA,
    Tried AES with 168 and 256 bit,
    Tried 3DES, 
    ...

    I can't find an explanation of the difference in all the choices in the ASL config... I'm using the PSK doc from the knowledgebase, but it shows using AES_PFS, but other docs here say do NOT use PFS with Cisco, so I'm trying to find an authoritative doc for setting this up.

    Do I need to create a new IPSEC POLICY in ASL, or will one of the built-in ones work?

    Thanks,
    Barry
Children
  • 0 in reply to BarryG
    I'm getting messages like this in the ipsec.log:

    2006:07:06-14:21:03 (none) pluto[9055]: ERROR: "S_HHS__VPN_0" #1: sendto on eth5 to x.x.x.x:500 failed in main_outI1. Errno 1: Operation not permitted

    eth5 is my external interface.

    Thanks,
    Barry
  • 0 in reply to BarryG
    The VPN Status shows:
    000 #6: "S_XXX__VPN_0":500 STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 6s; lastdpd=-1s(seq in:0 out:0)
     
    Thanks,
    Barry
  • 0 in reply to BarryG
    Resolved with help of ASL's excellent support... we missed one of the settings for the expiration time.

    Regardless, I do believe the VPN docs could use some updating.

    Also the settings say MD5 160bit, but isn't MD5 a 128bit hash?

    Thanks,
    Barry
  • 0 in reply to BarryG
    Hey Barry, could you write a little something up and post it here.  That way future folks could gain from your experience.  [:)]
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    Glad to hear you got it working. When i have had issues before i created my own policy on the astaro firewall and made it to match the cisco policy.


    Simple advice when working with IPSEC is make sure everyhting matches. That has always been the rule that i have followed.

     I have also used the linksys vpn gateways to test vpn tunnels. and practice setting them up. They are pretty cheap and make a good IPSEC test network
  • 0 in reply to Scott_Klassen
    Scott, it really was just a question of matching everything up...

    I created a new policy on ASL...

    Used a pre-shared key
    SHA 160 (MD5 was confusing as some places say 128 and some say 160, but it probably would have worked)

    AES 256 on both the IKE and the encryption.

    No PFS
    No compression

    Also, even though local and remote subnets are listed as 'optional', istm that they must be specified.

    The part we had wrong was the timeouts... in the Cisco settings, there are 2 timeouts on one page (from which you choose 1), and they is another timeout on another page which we missed. Also, they are named differently in Cisco than in ASL.

    Barry
Cookie Information Banner