Astaro Security Gateway / SSL VPN to Cisco ASA

Nico, The Astaro does not support SSL for SIte-to-Site VPNs.  It seems unlikely to me that a university IT staff would allow you to establish a permanent IPSec tunnel, but you could ask them.

Cheers - Bob

Ah, thank you Bob for your quick answer!

Well, I got an second option:
We got an "normal" Cisco 3000 VPN Concentrator which does auth also over an p12 File (and uses an pcf for the config) and an username / password.

Could that work anyhow?

Anyway, I want to do that on the Astaro, as I could possibly change there some other routing information, so that it only uses certain ports over the vpn - as I use the normal VPN Client, it does forward nearly *everything* from the pc / my home connection over the university network, for example the webtraffic, and surely i don't want that, but only certain ports for example remote desktop, vmware, etc. which i need for my work [you know these bad weeks and these 'good weekends' where you get the solution to an problem that has been bordering you for weeks and months and implement the solution in nothing less than 3 a.m. on sunday morning ;-).]

And on the other hand - its more comfortable than the cisco client, as I need connection on serval pcs (and as I got an fixed ip adress, I would have no luck trying to connect a second time - without disconneting the other season)

Thanks in advance,

Nico

Anyone? ^^'

Hi, I'm not sure what you're asking, but...

Astaro CAN do a IPSEC site-to-site VPN with a Cisco VPN concentrator, and yes, you can set which networks get routed through the VPN.

However, I believe you'll need to get a matching config on both ends; I don't think a PCF file alone would be sufficient.

You might also want to look at VPNC if you have Linux clients; you can control the routes in it as well.

Barry

yes, that would actually be what i asked for:

I wanted to create an VPN via Astaro with an Cisco 3000 VPN Concentrator.

What would I need to acomplish that?


Thank you very much,

Nico

There are a couple of KB articles outlining the specifics of connecting an ASG to a Cisco PIX or ASA (articles 284555 and 291714), but regardless of the remote endpoint the key is to match the configurations perfectly on each end.

Both the IPSec policy and the networks need to match for the VPN to connect and flow traffic properly.  I generally suggest configuring the endpoint you are least familiar with first, as it will be easier to tweak the device you are most familiar with to complete the configuration.

Guys, is there any way Nico can accomplish this without having the cooperation of the people in charge of the Cisco?

Cheers - Bob

Guys, is there any way Nico can accomplish this without having the cooperation of the people in charge of the Cisco?

Cheers - Bob

It is possible with *minimal* cooperation from the Cisco end (insert snide comment of your choice about cooperation and Cisco), if they can provide their config specs it can be mirrored on the Astaro- but without basic info it will be a significant guessing game trying to determine why they won't connect.  Adjusting settings by trial and error based on log errors might get a very patient person connected.  Patience may be a virtue, but if we're talking billable hours this could be a problem.