Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 997 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site 2 Site VPN from ASG220 to ASG Home /w Wireless Internet

mrainey
Have set up home license ASG 7.103 to work with Kyocera router and Sprint aircard. Works fine for Internet and my SSL client works to the office ASG220. However, for fun, I want to set up an Site 2 Site VPN. I have it configured just like the office VPN's to branch offices with ASG 120's. On the Kyocera there is a "virtual server" page for forwarding common ports. I set UDP 500 and 4500 to the External interface on the ASG PC. However, the tunnel will not establish. On the ASG220 the IP Sec log shows this error: 

S_Kyocera01 NuVox VPN_0" #4377: ERROR: asynchronous network error report on eth5 for message to (IPofSprintCard) port 500, complainant (IPofSprintCard): Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)] 

The log on the Home PC shows Max number of retransmissions....no acceptance[:S]


This thread was automatically locked due to age.
Parents
  • 0
    If you had installed a newer version, you would have been supplied with a services group "IPSec" which contains "IPSec - ESP" (Port 50) and "IPSec - AH" (Port 51) in addition to 500 (IKE) and 4500 (NAT-T).  I bet it'll crank up if you add those ports.
  • 0 in reply to BAlfson
    Good thought Bob, but...
    On both ASG installs (The ASG220 is at 7.306, the Home PC at 7.103) the IPSEC service group has 4 services as you mentioned. On the Kyocera router there does not appear to be an option to allow specific TCP Protocols like 50 and 51. The firewall offers Protocol options UDP, TCP, ICMP and *. However, there is an option to put an IP address in a DMZ. So I put the external WAN IP of the ASG PC in the DMZ. Behavior changed, but the Site2Site VPN still did not come up.

    On the ASG220, the livelog periodically reports that S_Kyocera01 NuVox VPN_0" #4401: max number of retransmissions (20) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message

    On the PC, the livelog reports Packet from (ASG220 External IP):500 ignoring vendor id payload
  • 0 in reply to mrainey
    Since the Astaro is doing firewalling, why not just choose * to turn that off in the Kyocera?
  • 0 in reply to BAlfson
    And bridge the Kyocera if possible.

    Barry
Reply Children
No Data