Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 1025 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RW works only once

Michael Mertel
Hi there,

we are having a ASL 5.212, running three RSA authenticated side-2-side vpn connections (for ages without probs) and a another standard vpn connection (PSK) from a linksys vpn-router with a dynamic IP. This worked so far.

Today I had to add a RoadWarrior (NCP Client 1.3 == Astaro IPSec Client 8.3) from a dynamic address with PSK too. AFAIK two different VPN connections from a dynamic address are not possible, right? Anyways, it didn't worked and my road warrior always tried to use the VPN connection thats for the Linksys.

So I got a fixed  address for the road warrior, and my VPN connection worked, but only once. If I disconnect the connection from my RW, and try to connect again, it always trys to use the "Linksys" connection on my Astaro, and VPN routes on the ASL shows

0          192.168.120.0/24:0 -> 192.168.16.10/32:0 => %trap:0

If I disable/enable IPsec on the ASL, it works again, for a single shot.

Any ideas what can cause this problem?

Best Regards

--Michael


This thread was automatically locked due to age.
Parents
  • 0
    Hi Michael,

    the problem is not the dynamic ip adress but the PSK authentication method.
    You can only have one RoadWarrior with PSK.
    A simplified RoadWarrior PSK workflow:

    Client: Hey, i wanna build a tunnel! I got a PSK for you.
    Gateway: Alright, let's see which connection wants a PSK.
                 Okay, found it in my list. It's "the_first_connection_with_PSK".
                 Show me your PSK and all the other crap.

    So Client sends its information and gateway compares them with the first found PSK-Connection. That _can_ be correct if the other PSK connections are disabled or it's the first entry in the list just by coincidence.

    So try to migrate to X.509 authentication since then Client sends it's ID (the certificate) right within it's first request and Gateway can search for the correct connection.

    Greetings,
    Sebastian
  • 0 in reply to seezer
    Hi Sebastian,

    thanks for the reply.

    Currently i have two standard vpn profiles (not road warrior), 1st one comes from a dynamic address with PSK, the 2nd from a static ip address with PSK.

    Shouldn't the profile with the static IP (remote endpoint) match best? It worked once, why?

    Verry irritating, but if X.509 is the only way to go, ...

    Best Regards

    --Michael
Reply
  • 0 in reply to seezer
    Hi Sebastian,

    thanks for the reply.

    Currently i have two standard vpn profiles (not road warrior), 1st one comes from a dynamic address with PSK, the 2nd from a static ip address with PSK.

    Shouldn't the profile with the static IP (remote endpoint) match best? It worked once, why?

    Verry irritating, but if X.509 is the only way to go, ...

    Best Regards

    --Michael
Children
No Data
Cookie Information Banner