Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 2205 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site 2 Site VPN using IPSEC and RSA Keys

morpheusj30
I have 2 sites setup with ASG 7.501.
I have been trying to setup the site2site vpn to no avail.

Here are my configuration from Site 2 Site VPN using IPSEC:
1st I added a fqdn dns host for each site from dyndns in Definition --> Network like this:

Name: MainOffice
Type: DNS host
Interface: External (WAN)
Hostname: dyndns fqdn

Name: BranchOffice
Type: DNS host
Interface: External (WAN)
Hostname: dyndns fqdn

*** Main Office Configuration ***

REMOTE GATEWAYS:

Gateway type: Initiate connection
Gateway:         BranchOffice Host name
Authentication type: Local x509 Certificate
Certificate:         WebAdmin certificate
VPN ID Type: fqdn
VPN ID: dyndns fqdn name
Remote Networks: BranchOffice Host name

CONNECTIONS:

Name: BranchOffice
Remote Gateway: BranchOffice Host name
Local Interface:         External (WAN)
Policy: AES-256
Local Networks Internal (Network)
Auto packet filter: checked
Strict routing: unchecked

In the Advanced Tab, I have Local X509 Certificate pointing to WebAdmin certificate

*** Branch Office Configuration ***

REMOTE GATEWAYS:

Gateway type: Initiate connection
Gateway:         MainOffice Host name
Authentication type: Local x509 Certificate
Certificate:         WebAdmin certificate
VPN ID Type: fqdn
VPN ID: dyndns fqdn name
Remote Networks: MainOffice Host name

CONNECTIONS:

Name: MainOffice
Remote Gateway: MainOffice Host name
Local Interface:         External (WAN)
Policy: AES-256
Local Networks Internal (Network)
Auto packet filter: checked
Strict routing: unchecked

In the Advanced Tab, I have Local X509 Certificate pointing to WebAdmin certificate

ERROR MESSAGE

Here is the error I am getting:
initial Main Mode message received on wanip:500 but no connection has been authorized with policy=RSASIG
2009:11:21-14:59:36 jb pluto[22683]: "S_JCB-MainOffice" #2: ERROR: asynchronous network error report on eth1 for message to wanip port 500, complainant wanip: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)] 

I tried searching the forums for the error message but did not find any answer.

I thank you in advance for your assistance.


This thread was automatically locked due to age.
  • 0
    I'm a visual-tactile learner, so I do better with pictures of things, but it looks like you may not have the 'Remote Networks' defined correctly in the 'Remote Gateway' definitions.  If the 'Internal (Network)' for the BranchOffice were 10.10.10.0/24, then the remote network in the MainOffice Astaro also would be 10.10.10.0/24. Likewise for the Astaro in the BranchOffice.

    I don't think the RSASIG message is important since you aren't using an RSA key.  In the BranchOffice Astaro, I would have expected your 'Authentication type' to be "Remote X509 Certificate" with 'VPN ID type' "Hostname" and 'VPN ID' your dyndns fqdn name.

    If you still can't get it to work, please Go Advanced and post pics of your Remote Gateway and IPsec Connection from each side.  Also, include the IPsec log from each side for a connection attempt.

    Cheers - Bob
  • 0 in reply to BAlfson
    I did try the RSA configuration on Friday and it did not work.  Now it is working.

    Next problem...

    Once I am connected via S2S VPN I cannot access the webadmin page on my lan and I cannot access the internet.

    I had to jump on a neighbor's internet connection and accessed the webadmin from the wan side.  I disabled the S2S VPN connection my internet connectivity came back.

    What am I doing wrong?
  • 0
    Nothing wrong.  When you are connected S2S, you just use the internal IP instead of external.

    Cheers - Bob
    PS Just curious, did you make any configuration changes, or was this something solved by rebooting?
  • 0 in reply to BAlfson
    Yes, on Friday I did reboot both servers. I did not try again a few minutes before I opened this thread.

    You stated to use the internal address when connected to S2S.

    I dont follow, I am new to astaro.  Can you provide me with an example.

    I am simply trying to connect the 2 offices so that resources can be shared. ie file server and/or cups printer between offices.

    By the way, thanks for the prompt responses.