Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 1 subscriber
  • Views 7813 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Asg7 - fvg318

andersjj
Trying to get a site to site VPN working with ASG7 at the "home office" and FVG318 at the "branch office".

Using AES-128 PFS...tried to match up all the settings on the FVG318...keep getting the following log which ends in "No phase 2 handle"

here's the netgear log

2009-02-20 : INFO:  accept a request to establish IKE-SA: astaro.domain.com
2009-02-20 : INFO:  remote configuration for identifier "astaro.domain.com" found
2009-02-20 : INFO:  Initiating new phase 1 negotiation: branch_ip[500]homeoffice_ip[500]
2009-02-20 : INFO:  Beginning Identity Protection mode.
2009-02-20 : INFO:  Received unknown Vendor ID
2009-02-20 : INFO:  Received unknown Vendor ID
2009-02-20 : INFO:  Received unknown Vendor ID
2009-02-20 : INFO:  Received unknown Vendor ID
2009-02-20 : INFO:  ISAKMP-SA established for branch_ip[500]-homeoffice_ip[500] with spi:a775074169fe97d1:01b0e6014a326da2
2009-02-20 : INFO:  Sending Informational Exchange: notify payload[INITIAL-CONTACT]
2009-02-20 : INFO:  Initiating new phase 2 negotiation: branch_ip[500]homeoffice_ip[0]
2009-02-20 : ERROR:  Unknown notify message from homeoffice_ip[500].No phase2 handle found.


asg7 key line seems to be

pluto[14149]: "S_myfirst ipsec_0"[8] xx.xx.xx.xx #12: cannot respond to IPsec SA request because no connection is known for xx.xx.xx.0/24===xx.xx.xx.xx...xx.xx.xx.xx

Do I have the source and dest IP's reversed or something?  Any help would be great...thanks...hopefully it's something simple I didn't enter in ASG7 config...


This thread was automatically locked due to age.
  • 0
    It's hard to say if you've reversed the IPs as you've xx'd them all out [:P]

    In Astaro, the Remote Gateway setup should include the networks inside the FVG318.
    And the Connection should specify all of the local networks you want to tunnel.

    Barry
  • 0 in reply to BarryG
    OK...got the site to site VPN connected...stupid mistake on my part, but it's working now.

    Probably another silly question, but I'm new to this.

    The "home office" has internal network of 192.168.5.0/24
    The "branch office" has internal network of 192.168.1.0/24

    Having trouble pinging internal ip's from home office to branch office and vice versa.  
    Site to Site IPSEC tunnel status showing as green, so I believe the connection is valid....any help on what I need to get past the last mile would be great...TIA...
  • 0 in reply to andersjj
    Do you have the ICMP settings turned on in PacketFilter - ICMP?

    Barry
  • 0 in reply to BarryG
    Yep, turned on and can ping "home office ips" from a home office workstation, branch office ips are pingable from branch office workstations, but can't ping a home office ip from a branch office workstation.  

    Checking to see if I need to change anything on the branch office side.
  • 0 in reply to andersjj
    Maybe my problem is stemming from the fact that I probably don't have appropriate gateway route in place.  Looked at adding a route and not sure what I would want to put for the gateway.

    Again, home office private net is 192.168.5.0/24, remote is 192.168.1.0/24
  • 0 in reply to andersjj
    You shouldn't need a route if your VPN is configured correctly.  I'm with Barry; double check the 'ICMP' tab to confirm that you're allowing pings "through" the firewall.

    Can you ping the IP of the Internal interface of the ASG from a branch office PC?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Yep, I checked off everything just to be on the safe side...
    Can't ping the internal IP of ASG from branch office....

    Here's a screen print of my ipsec connection if that sheds any light on this...

    should there be both SA's connected?  Sorry to be clueless, just getting started with this...
  • 0 in reply to andersjj
    It doesn't seem like the problem is in the Astaro.  If you can ping branch office PCs from the home office, that would confirm that you're missing something in the fvg318.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Can't ping either way, not from home to branch, or branch to home...

    Any way to verify the ipsec tunnel is actually valid, or if it shows up green it's OK?
  • 0 in reply to andersjj
    OH!  I didn't look closely enough; what's the deal with that second SA?  Click on my name beside my avatar and email me pics of the 'Connections' and 'Remote Gateways' tabs.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner