Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 2865 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site2Site VPN with Netgear SRXN3205

dgriffin
I'm trying to get a Site2Site VPN setup between these 2 devices. I have double and triple checked all the settings but when it tried to connect, the following error is logged:
2009:12:30-11:01:46 usnjvpnsec101 pluto[9636]: packet from 174.59.xx.***:500: initial Main Mode message received on 96.57.***.***:500 but no connection has been authorized with policy=PSK

Any help would be greatly appreciated.

Thanks.


This thread was automatically locked due to age.
  • 0
    NAT-T on both sides?  Correct IP addresses on both ends?  Is either end of the tunnel being DNATted through a router?  Please share pics of Astaro 'Connections' tab and an edit of the chosen Policy as well as pics of the configuration of the Netgear.

    Cheers - Bob
  • 0 in reply to BAlfson
    D-NAT on the astaro end. can't seem to find it on the netgear. IPs are correct on both. Nope. Both firewalls sit right on the internet. I attached some screenshots. Let me know if you need anything else.

    Thanks! -Danny
  • 0
    Not too familiar with the netgear, but I see in the 2nd netgear screen that Netbios is selected then in the "Traffic Selection" section it says that the remote network is not editable with "Netbios Enabled". It looks to me like that option should be disabled so you can place the correct network in the Remote section, unless it is suppose to be 10.0.0.0/8
  • 0 in reply to dilandau
    Just tried fixing that (you are right, it was not supposed to be /8) and no luck. Still getting this error 2009:12:30-20:34:03 usnjvpnsec101 pluto[9636]: packet from 174.59.xx.***:500: initial Main Mode message received on 96.57.***.***:500 but no connection has been authorized with policy=PSK
  • 0
    The local network definitions on the Netgear can't work; 10.100.0.0/255.255.0.0 is NOT disjoint from 10.0.0.0/255.0.0.0.  Also in the Netgear definition, you indicate 'Identifier Type' of "Remote WAN IP" yet you have entered the FQDN of the Astaro's External interface instead of the actual IP (I'm not familiar with the netgear, so maybe that's correct, but it sounds like it isn't).

    Since you have a fixed WAN-IP for the Netgear, you should configure the Remote Gateway to "Initiate connection" instead of the current "Respond only" choice.  One of the downsides of using a PSK with IPsec in "Respond only" mode is that you can have only one such PSK.  For example, if you configure L2TP over IPsec Remote Access, the PSK you use there is the same one you must use with a site-to-site IPsec VPN. This was changed in V8 with the 'Enable probing of preshared keys' selection'.

    I'm confused that you would configure an IPsec connection on the Internal, instead of External, interface - is there a reason for that?

    Although I'm pretty certain it has no effect on your current problem, if you don't need to use SNAT to add hosts/networks to the tunnel, I think you want "Strict routing" in the IPsec Connection.

    Cheers - Bob
  • 0 in reply to BAlfson
    Ok. Thanks for all the help so far! So I fixed the 10.0.0.0/8 issue and changed the ID type. ALso changed the connection to external instead of internal (as it should have been). The initial error is gone and i'm now getting this:

    2010:01:01-10:50:04 usnjvpnsec101 pluto[9636]: "S_ScrantonVPN"[1] 174.59.xx.*** #11: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x93146bfc (perhaps this is a duplicated packet)
    2010:01:01-10:50:04 usnjvpnsec101 pluto[9636]: "S_ScrantonVPN"[1] 174.59.xx.*** #11: sending encrypted notification INVALID_MESSAGE_ID to 174.59.xx.***:500