IPSEC PIX Dynamic to ASG425 Static?

Hi,

just a quick link to the astaro knowledge-base:
http://portal.knowledgebase.net/display/2n/kb/article.asp?aid=284555

Hope this helps!

Regards,
Patrick

I appreciate the link Patrick, but the difference is the PIX has a dynamic address.  I've read umpteen articles showing how to connect various static endpoints.  I've also taken the same pix and successfully created an ipsec tunnel no problem using static ip on both ends.

I've searched the knowledgebase for days and am getting a little frustrated because there is nothing that explains how a pix getting it's host address via DHCP can be setup to dynamically connect to the ASG.  The ASG is properly configured based on everything I've read.   
I would be indebted if if anyone was able to provide additional insight.  Plus, I'll send you TWO functioning pixes for your time (continental US only) if you can help me get this working.  My company recently migrated from a pix network to an MPLS (so we have LOTS of pix 501s).

Thanks again for your help.

The Astaro can only be configured with a single PSK for working with non-static endpoints.  If you have already configured 'IPSec' or 'L2TP over IPSec' in 'Remote Access', then you cannot use a different PSK for the 'Site-to-Site' connection.

If you've been enterring a different PSK when you configure Site-to-Site, the Astaro has ignored that.

Is that the issue?

Cheers - Bob

Thanks for the reply Bob,

I did have another dynamic endpoint tunnel configured on the ASG.  I recreated the PIX gateway definition with the same PSK and reconfigured the actual pix with that PSK.  Unfortunately no dice.  )-:  

I really think that this is more of a pix thing....which is not my forte.  I can do a static connection with a PIX to anything, but the dynamic portion is the big mystery.

Any ideas?  I've attached a word doc in case someone in the know can take a look at the vpn settings for both devices.

Thanks again very much!

-billy

Thanks for the reply Bob,

I did have another dynamic endpoint tunnel configured on the ASG.  I recreated the PIX gateway definition with the same PSK and reconfigured the actual pix with that PSK.  Unfortunately no dice.  )-:  

I really think that this is more of a pix thing....which is not my forte.  I can do a static connection with a PIX to anything, but the dynamic portion is the big mystery.

Any ideas?  I've attached a word doc in case someone in the know can take a look at the vpn settings for both devices.

Thanks again very much!

-billy

Have you tried 'Strict routing' in the Astaro?

I just tried 'Strict Routing" and no dice.  )-:

Thanks,
-billy

In the Pix, do you need to change "crypto map mymap client configuration address initiate" to "... respond" or just add an identical line with "respond" instead of "initiate"?

Sorry I'm so ignorant on the Pix. Barry or Scott would be able to nail this immediately.

Cheers - Bob

One of the real gurus responded to me about this with the comment that he has never done a Site-to-Site IPSec VPN; he requires his clients to spend a few extra dollars a month for fixed IPs.  It's a tough crowd!

He's right; if there's a need for a Site-to-Site VPN, there should be a few dollars available each month to pay for a fixed IP.  If there isn't such a need, then maybe the right answer is for individual users to configure 'Remote Access', have the users connect individually with their PCs and to liquidate those old Pixes!

Cheers - Bob

Agreed, it would definitely make more sense to get static IPs for these types of connections.  The problem is that for some locations static is simply not offered.  Not only that, but the freedom to be able to plug in a cheap firewall (that we already own) that establishes an IPSEC connection instantly supports our DR strategy and provides us with alot of flexibility.

I think I've nailed the issue down to how the astaro treats remote gateway ipsec connection requests.  The pixes use dynamic crypto maps, while the Astaro uses the configuration of the remote gateway (set to "respond").  Therein somewhere lies the answer, but I need to find the elusive engineer that has actually made this happen successfully.  I just find it hard to believe that this can be done easily with 7 year old technology, but not with the newer Astaro.

As always, any ideas would be greatly appreciated....and I'm upping the offer to send 3 pix 501s with 50 ip user licenses to whoever can figure this out (continental US only).  (-:  Can you tell I'm desperate???

Thanks much,

-billy