Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 19338 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple Site to Site IPSEC tunnels

mkleine
Greetings,

I'm working to get multiple s2s IPSEC tunnels set up, and I'm running into some concept issues of how these operate in ASG.

I'm able to bring up a tunnel with passwords, RSA keys, and Local/Remote keys on the external IP address, but when I try to expand each of those I run into trouble.

For example, the tunnel will work on the external IP address, but I can't get it working on any of the 'additional addresses' for that interface. Do I need to make individual sub-interfaces for each external IP address? Will multiple tunnels work on the same address/interface?

For example, if I use a preshared key, it seems that I must use the same preshared key on ALL IPSEC connections. Remote access and s2s preshared keys must match.

For example, if I use an RSA key, it seems like I can only have one RSA key combination among the various tunnels.

Am I missing something?

Thanks, 

Mark


This thread was automatically locked due to age.
  • 0
    You are correct, Mark, that you only can have a single key.  Why not use certs instead as these are already available inside the Astaro?  In addition, certs are considerably more secure than PSKs.

    Cheers - Bob
    PS KnowledgeBase article on configuring IPsec site-to-site using certificates
  • 0 in reply to BAlfson
    OK, Bob, I'm OK with Certs, but, how to handle multiples.

    I'm running certs on a tunnel using the external address of the external interface, and it's working well.

    To set up multiples, can I use the same IP 'gateway' address with multiple IPSEC tunnels?

    I've tried to change the IP address to one of the 'additional addresses' on the same interface, and those don't 'answer', or connect. (Live log shows the external address keys loading up.)

    Thanks, Mark
  • 0
    If you want multiple tunnels between two sites, you only need to add the separate subnets to the 'IPsec Connection' and 'Remote Gateway' definitions.

    If you're trying to connect multiple sites to a single Astaro in a hub-and-spoke configuration, all of the remote devices can establish simultaneous connections to the External interface of the Astaro - no additional IP needed.  A post I made early last year might help you "see" how this works with three sites.

    Cheers - Bob
  • 0
    Aaah, yes, thanks.

    I understand the routing aspect. I wasn't clear on the connections aspect. I'm looking for your case 2. Multiple sites to a single Astaro gateway... 

    I'll be using certificates, and routing them all through ONE IP address of the hub Astaro.

    Thanks,

    Mark
  • 0 in reply to mkleine
    Hello Mark,
    its right that for one peer you have to use the same PSK for all (sub)-Tunnels.
    But its not right that the PSK of each Tunnel in net-2-net have to be the same.
    We have configured an separate PSK for each Tunneldefinition.

    firebear
  • 0
    Firebear, you're right, but that requires an "inverse" configuration where the "hub" must initiate the connection with each remote site.  Mark could use PSKs, but best-practice for security dictates changing them at least four times a year.  A Public Key Infrastructure, with certificates and CRLs, offers a better level of security with much less work over time.

    I don't know of a document that's any more specific than the Cisco Secure VPN Solutions Guide that includes the following:
    Because each VPN Client and each router has its own digital certificate and authentication is handled by the CA, a network is more scalable and provides a more secure authentication with digital certificates than with pre-shared keys or wildcard pre-shared keys. With digital certification, you can configure unlimited numbers of VPN Clients without having to change the gateway configuration.


    Cheers - Bob
  • 0
    OK, I was looking for the multi-site VPN post and ran across this.  Even my follow-up post needs a correction!

    Firebear is correct, the only limitation in having multiple PSKs is that you only can have a single PSK for all "Respond only" connections.  That means you must use the same PSK for L2TP over IPsec as you use with any site-to-site 'Remote Gateway' definition with a 'Gateway type' of "Respond only".

    And, since I was so focused on getting Mark (a client, BTW) to use certs, I failed to clarify the details of using RSA keys.  Like certificates, there's a private and public version of each key, so there is a lot more security with RSA keys than with PSKs.  However, each Astaro has only one private and one public key, as Mark said.  In the unusual situation where you wanted different sets of certificates for separate tunnels between two Astaros, that is possible.

    Thanks again to firebear for correcting my comment!

    Cheers - Bob