Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 2865 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site2Site VPN with Netgear SRXN3205

dgriffin
I'm trying to get a Site2Site VPN setup between these 2 devices. I have double and triple checked all the settings but when it tried to connect, the following error is logged:
2009:12:30-11:01:46 usnjvpnsec101 pluto[9636]: packet from 174.59.xx.***:500: initial Main Mode message received on 96.57.***.***:500 but no connection has been authorized with policy=PSK

Any help would be greatly appreciated.

Thanks.


This thread was automatically locked due to age.
Parents
  • 0
    The local network definitions on the Netgear can't work; 10.100.0.0/255.255.0.0 is NOT disjoint from 10.0.0.0/255.0.0.0.  Also in the Netgear definition, you indicate 'Identifier Type' of "Remote WAN IP" yet you have entered the FQDN of the Astaro's External interface instead of the actual IP (I'm not familiar with the netgear, so maybe that's correct, but it sounds like it isn't).

    Since you have a fixed WAN-IP for the Netgear, you should configure the Remote Gateway to "Initiate connection" instead of the current "Respond only" choice.  One of the downsides of using a PSK with IPsec in "Respond only" mode is that you can have only one such PSK.  For example, if you configure L2TP over IPsec Remote Access, the PSK you use there is the same one you must use with a site-to-site IPsec VPN. This was changed in V8 with the 'Enable probing of preshared keys' selection'.

    I'm confused that you would configure an IPsec connection on the Internal, instead of External, interface - is there a reason for that?

    Although I'm pretty certain it has no effect on your current problem, if you don't need to use SNAT to add hosts/networks to the tunnel, I think you want "Strict routing" in the IPsec Connection.

    Cheers - Bob
  • 0 in reply to BAlfson
    Ok. Thanks for all the help so far! So I fixed the 10.0.0.0/8 issue and changed the ID type. ALso changed the connection to external instead of internal (as it should have been). The initial error is gone and i'm now getting this:

    2010:01:01-10:50:04 usnjvpnsec101 pluto[9636]: "S_ScrantonVPN"[1] 174.59.xx.*** #11: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x93146bfc (perhaps this is a duplicated packet)
    2010:01:01-10:50:04 usnjvpnsec101 pluto[9636]: "S_ScrantonVPN"[1] 174.59.xx.*** #11: sending encrypted notification INVALID_MESSAGE_ID to 174.59.xx.***:500
Reply
  • 0 in reply to BAlfson
    Ok. Thanks for all the help so far! So I fixed the 10.0.0.0/8 issue and changed the ID type. ALso changed the connection to external instead of internal (as it should have been). The initial error is gone and i'm now getting this:

    2010:01:01-10:50:04 usnjvpnsec101 pluto[9636]: "S_ScrantonVPN"[1] 174.59.xx.*** #11: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x93146bfc (perhaps this is a duplicated packet)
    2010:01:01-10:50:04 usnjvpnsec101 pluto[9636]: "S_ScrantonVPN"[1] 174.59.xx.*** #11: sending encrypted notification INVALID_MESSAGE_ID to 174.59.xx.***:500
Children
No Data