Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 5258 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Preshared Key Issues - need clarification!

martho
OK, we have existing connections up and running to a mix of remote network devices. Up till now everything has been rosy with our 28 character PSK, but we are trying to add a new device that has a limitation of a 24 character PSK. Astaro gives the impression from the new user interface, ie. 7.X that the PSK's are unique to each connection, but apparently that isn't the case. 

Questions:
1) Exactly what is shared in terms of the PSK's? Do all PSK's have to match, or only the respond-only gateway PSK's? The email response we got from Astaro support is so unclear as to be useless.
2) Why didn't you stick with the 6.X interface that defined PSK's seperate from the VPN, so it would be obvious that are shared? Doh!
3) Why is a blinking field that doesn't accept input supposed to make me aware that I already have defined a PSK that can't be altered?
4) Are you really saying we have to modify all VPN's down to the lowest common denominator?
5) How does this promote ad-hoc network management and backup? Those are the primary benefits of VPN's but this restriction makes it difficult to now predict what will and what won't work when the chips are down. Specifically, it is obvious now that if I get an off-the-wall request to set up an emergency vpn with off the chelf components, I can't do it. The available off-the-shelf tools at the local big box is in now way guaranteed to support the key lengths we are currently using. This is the exact situation I am in now.


This thread was automatically locked due to age.
Parents
  • 0
    If I understand your question, you are referring to PSKs for Site-to-Site VPNs.  You should be able to setup a different PSK for each Remote Gateway.

    Good luck - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    We thought we could have seperate PSK's as well, but apparently something is up. We can't enter anything into the field, including the same PSK that already exists on the 'Elkhart' VPN referenced below. Supposedly Astaro got into the box and "fixed" it for us, but hasn't told us what they did so we can "fix" it again now that we know our ned-point requires a shorter key.

    Quoting from the support response:

    My original ticket:
     
    I am trying to add a Remote Gteway under the Site-To-Site VPN -> IPSec.

    I am filling out all the info but when entering a PreSharedKey I get a flashing box around the first PreSharedKey entry. I do not get anything that tells me what is wrong. I have entered long, short, alpanumeric, all alpha and all numeric. nothing works.

    Their Comments:
      
    The reason for the webadmin portal flashing the PSK field is because the key
    has to be the same as what is defined in the IPSEC tunnel for the site-to-site
    VPN.
     
    I will make this change in the backend so that you can get this remote_access
    facility enabled. 
     
    After sending my last email, I realized that it may not have been clear to
    understand.  Allow me to clarify.
     
    There is limitation on the ASG to allow only one PSK for remote access vpn
    facilities (i.e. lt2p over IPSEC) and all respond-only remote IPSEC gateways. 
     

    In your situation, a respond-only gateway has already been defined on the ASG
    with a PSK, which is Elkhart.  As a result, the new respond-only gateway that
    you are setting has to have the same PSK value as the Elkhart gateway.
Reply
  • 0 in reply to BAlfson
    We thought we could have seperate PSK's as well, but apparently something is up. We can't enter anything into the field, including the same PSK that already exists on the 'Elkhart' VPN referenced below. Supposedly Astaro got into the box and "fixed" it for us, but hasn't told us what they did so we can "fix" it again now that we know our ned-point requires a shorter key.

    Quoting from the support response:

    My original ticket:
     
    I am trying to add a Remote Gteway under the Site-To-Site VPN -> IPSec.

    I am filling out all the info but when entering a PreSharedKey I get a flashing box around the first PreSharedKey entry. I do not get anything that tells me what is wrong. I have entered long, short, alpanumeric, all alpha and all numeric. nothing works.

    Their Comments:
      
    The reason for the webadmin portal flashing the PSK field is because the key
    has to be the same as what is defined in the IPSEC tunnel for the site-to-site
    VPN.
     
    I will make this change in the backend so that you can get this remote_access
    facility enabled. 
     
    After sending my last email, I realized that it may not have been clear to
    understand.  Allow me to clarify.
     
    There is limitation on the ASG to allow only one PSK for remote access vpn
    facilities (i.e. lt2p over IPSEC) and all respond-only remote IPSEC gateways. 
     

    In your situation, a respond-only gateway has already been defined on the ASG
    with a PSK, which is Elkhart.  As a result, the new respond-only gateway that
    you are setting has to have the same PSK value as the Elkhart gateway.
Children
  • 0 in reply to martho
    Ah, now I see.  Can you set one or the other to 'Initiate' instead of 'Respond Only'?  It sounds like your VPNs should all be 'initiate' though.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I can't set the VPN's to be intiate only because the Astaro box is the only static IP device in the picture. The other two devices have dynamic IP's therefore they initiate a connection to the Astaro box and it is set to respond to the request. And there isn't anyway to set the Astaro box to initiate as there is no defined enpoint to send the initiate request to.
  • 0 in reply to martho
    DynDNS may be a solution then refer to the systems via hostname.
  • 0 in reply to Simon Shaw
    Simon is right.  Your only other choice is to change all of the remote devices to the same 24-character PSK.

    DynDNS is in use for one thing or another at every client we support.  Even $25 Linksys routers have native support for it.

    Good luck - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner