Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 19340 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple Site to Site IPSEC tunnels

mkleine
Greetings,

I'm working to get multiple s2s IPSEC tunnels set up, and I'm running into some concept issues of how these operate in ASG.

I'm able to bring up a tunnel with passwords, RSA keys, and Local/Remote keys on the external IP address, but when I try to expand each of those I run into trouble.

For example, the tunnel will work on the external IP address, but I can't get it working on any of the 'additional addresses' for that interface. Do I need to make individual sub-interfaces for each external IP address? Will multiple tunnels work on the same address/interface?

For example, if I use a preshared key, it seems that I must use the same preshared key on ALL IPSEC connections. Remote access and s2s preshared keys must match.

For example, if I use an RSA key, it seems like I can only have one RSA key combination among the various tunnels.

Am I missing something?

Thanks, 

Mark


This thread was automatically locked due to age.
Parents
  • 0
    Firebear, you're right, but that requires an "inverse" configuration where the "hub" must initiate the connection with each remote site.  Mark could use PSKs, but best-practice for security dictates changing them at least four times a year.  A Public Key Infrastructure, with certificates and CRLs, offers a better level of security with much less work over time.

    I don't know of a document that's any more specific than the Cisco Secure VPN Solutions Guide that includes the following:
    Because each VPN Client and each router has its own digital certificate and authentication is handled by the CA, a network is more scalable and provides a more secure authentication with digital certificates than with pre-shared keys or wildcard pre-shared keys. With digital certification, you can configure unlimited numbers of VPN Clients without having to change the gateway configuration.


    Cheers - Bob
Reply
  • 0
    Firebear, you're right, but that requires an "inverse" configuration where the "hub" must initiate the connection with each remote site.  Mark could use PSKs, but best-practice for security dictates changing them at least four times a year.  A Public Key Infrastructure, with certificates and CRLs, offers a better level of security with much less work over time.

    I don't know of a document that's any more specific than the Cisco Secure VPN Solutions Guide that includes the following:
    Because each VPN Client and each router has its own digital certificate and authentication is handled by the CA, a network is more scalable and provides a more secure authentication with digital certificates than with pre-shared keys or wildcard pre-shared keys. With digital certification, you can configure unlimited numbers of VPN Clients without having to change the gateway configuration.


    Cheers - Bob
Children
No Data