Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 5921 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-site VPN Astaro to Draytek Vigor 2900

mattjanssens
I'm trying to setup a VPN tunnel between ASG 7.306 and a DrayTek Vigor 2900, but have difficulties in finding the right policy settings.
Please advice if a predefined IPSEC policy can be used, or a dedicated profile needs to be defined.
The Draytek has only PSK capabilities, but does not allow for finetuning phase 1 and 2 authentication protocols.


This thread was automatically locked due to age.
  • 0
    >The Draytek has only PSK capabilities,...
    Yes.

    > ...but does not allow for finetuning phase 1 and 2 authentication protocols.
    No.

    By VPN General and on the Profile Dial-In Settings:
    You can define with Encyption are allow (DES, 3DES, AES)

    By Profile Dial-Out Settings:
    You must preselect your policy and then fine tunig by "Advanced"...
    Phase1: DES or 3DES with SHA1 or MD5 or all allow....
    Phase2: DES, 3DES or AES with SHA1 or MD5 or all allow
    PFS: none or enabled = DH1
    Compression: is auto detect.

    On the Astaro define a new Profile!

    Comments:
    By AES has the VG2900G high utilisation. The best settings  for V7 are (for me) 3DES and SHA1 (MD5 are tricky). Since V7 only one remote network works. By V6 MD5 and additional Networks  working succesfully.
  • 0 in reply to Schoerch
    Many thanks for the guidelines, but I do not get a complete connection yet.

    This is what i did:
    -I configured dial-out settings on the Draytek with 3DES , SHA1 and no PFS as shown in your 2nd figure.
    -I configured a "Draytek" IPSEC policy on the ASG V7 with :  Phase 1 3DES, SHA and IKE DH Group 1 (768 bit), Phase 2 3DES, SHA and IPSEC PFS Group None
    -I configured a Remote Gateway on the ASG V7 and defined the IPSEC connection

    Below is an extract from the log, that keeps on repeating, but no connection

    2009:03:20-16:02:46 fw pluto[4002]: packet from 62.177.176.***:500: received Vendor ID payload [Dead Peer Detection] 
    2009:03:20-16:02:46 fw pluto[4002]: "S_Unknown Object"[1] 62.177.176.*** #652: responding to Main Mode from unknown peer 62.177.176.*** 
    2009:03:20-16:02:46 fw pluto[4002]: "S_Unknown Object"[1] 62.177.176.*** #652: ignoring informational payload, type IPSEC_INITIAL_CONTACT 
    2009:03:20-16:02:46 fw pluto[4002]: "S_Unknown Object"[1] 62.177.176.*** #652: Peer ID is ID_IPV4_ADDR: '62.177.176.***' 
    2009:03:20-16:02:46 fw pluto[4002]: "S_Unknown Object"[1] 62.177.176.*** #652: sent MR3, ISAKMP SA established 
    2009:03:20-16:02:46 fw pluto[4002]: "S_Unknown Object"[1] 62.177.176.*** #653: responding to Quick Mode 
    2009:03:20-16:02:47 fw pluto[4002]: "S_Unknown Object"[1] 62.177.176.*** #643: max number of retransmissions (2) reached STATE_QUICK_R1 
    2009:03:20-16:02:50 fw pluto[4002]: "S_Unknown Object"[1] 62.177.176.*** #653: discarding duplicate packet; already STATE_QUICK_R1 
    2009:03:20-16:02:56 fw pluto[4002]: "S_Unknown Object"[1] 62.177.176.*** #653: discarding duplicate packet; already STATE_QUICK_R1 
    2009:03:20-16:02:58 fw pluto[4002]: "S_Unknown Object"[1] 62.177.176.*** #652: ignoring Delete SA payload: PROTO_IPSEC_ESP SA(0xe7d04051) not found (maybe expired) 
    2009:03:20-16:02:58 fw pluto[4002]: "S_Unknown Object"[1] 62.177.176.*** #652: Informational Exchange message is invalid because it has a previously used Message ID (0xc993274e) 

    Appreciate your advice.
  • 0 in reply to mattjanssens
    I'm trying now with out success.  If you have it working and can post the proper parameters, it would be most appreciated.

    Thanks.