Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 19339 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple Site to Site IPSEC tunnels

mkleine
Greetings,

I'm working to get multiple s2s IPSEC tunnels set up, and I'm running into some concept issues of how these operate in ASG.

I'm able to bring up a tunnel with passwords, RSA keys, and Local/Remote keys on the external IP address, but when I try to expand each of those I run into trouble.

For example, the tunnel will work on the external IP address, but I can't get it working on any of the 'additional addresses' for that interface. Do I need to make individual sub-interfaces for each external IP address? Will multiple tunnels work on the same address/interface?

For example, if I use a preshared key, it seems that I must use the same preshared key on ALL IPSEC connections. Remote access and s2s preshared keys must match.

For example, if I use an RSA key, it seems like I can only have one RSA key combination among the various tunnels.

Am I missing something?

Thanks, 

Mark


This thread was automatically locked due to age.
Parents
  • 0
    OK, I was looking for the multi-site VPN post and ran across this.  Even my follow-up post needs a correction!

    Firebear is correct, the only limitation in having multiple PSKs is that you only can have a single PSK for all "Respond only" connections.  That means you must use the same PSK for L2TP over IPsec as you use with any site-to-site 'Remote Gateway' definition with a 'Gateway type' of "Respond only".

    And, since I was so focused on getting Mark (a client, BTW) to use certs, I failed to clarify the details of using RSA keys.  Like certificates, there's a private and public version of each key, so there is a lot more security with RSA keys than with PSKs.  However, each Astaro has only one private and one public key, as Mark said.  In the unusual situation where you wanted different sets of certificates for separate tunnels between two Astaros, that is possible.

    Thanks again to firebear for correcting my comment!

    Cheers - Bob
Reply
  • 0
    OK, I was looking for the multi-site VPN post and ran across this.  Even my follow-up post needs a correction!

    Firebear is correct, the only limitation in having multiple PSKs is that you only can have a single PSK for all "Respond only" connections.  That means you must use the same PSK for L2TP over IPsec as you use with any site-to-site 'Remote Gateway' definition with a 'Gateway type' of "Respond only".

    And, since I was so focused on getting Mark (a client, BTW) to use certs, I failed to clarify the details of using RSA keys.  Like certificates, there's a private and public version of each key, so there is a lot more security with RSA keys than with PSKs.  However, each Astaro has only one private and one public key, as Mark said.  In the unusual situation where you wanted different sets of certificates for separate tunnels between two Astaros, that is possible.

    Thanks again to firebear for correcting my comment!

    Cheers - Bob
Children
No Data