Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 4856 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site tunnel not coming up

James Shakour
here is what I see in the live log...


sent MR3, ISAKMP SA established
2010:08:17-15:11:53 LosGatosASG-1 pluto[28279]: "S_REF_OZmfjlKtgb_1" #4: cannot respond to IPsec SA request because no connection is known for 172.16.1.0/24===12.146.X.X...216.201.X.X===192.168.0.0/24
2010:08:17-15:11:53 LosGatosASG-1 pluto[28279]: "S_REF_OZmfjlKtgb_1" #4: sending encrypted notification INVALID_ID_INFORMATION to 216.201.X.X:500
2010:08:17-15:11:53 LosGatosASG-1 pluto[28279]: "S_REF_OZmfjlKtgb_1" #4: cannot respond to IPsec SA request because no connection is known for 192.168.0.0/24===12.146.X.X...216.201.X.X===192.168.0.0/24


On the ASG's themselves, the error says n connection.


This thread was automatically locked due to age.
  • 0
    172.16.1.0/24===12.146.X.X...216.201.X.X===192.168.0.0/24
    192.168.0.0/24===12.146.X.X...216.201.X.X===192.168.0.0/24

    James, are those an "oops" in disguising the real subnets?  Are we sure the subnets aren't identical or somehow overlapping?  Even then, I'd think the tunnel would make, and that the problem is earlier in the log.

    Cheers - Bob
  • 0 in reply to BAlfson
    ok i got the tunnel up....thanks Bob. After reading your post I realized what I did. 


    My next question now is this, currently there is a Cisco VPN concentrator at both ends (where I established the ASG tunnel) I plan on making the ASG tunnel the primary connection point. 

    1. Is there a way to keep the Cisco boxes up in a secondary state, if the ASG/tunnel goes down the Cisco boxes kick into primary?

    2. I am guessing if the above is possible, I would need to add floating static routes to the ASG's at both ends. How do I accomplish that?

    3. Is there a notification available that can be emailed out if the tunnel goes down? I looked in the notifications section and I saw "IPsec starter not running - restarted" and "IPsec pluto not running - restarted". Would these be the notifications to alert me if the tunnel goes down?
  • 0
    ok i got the tunnel up

    [:)] OK, but what did you discover that might help the rest of us some day?

    I think that if I were your reseller, I'd suggest you eBay the Ciscos, put Hot-Standbys on your Astaros and exchange your single, expensive ISP connection for two or more lower-cost ones with separate ISPs. [[;)]]

    That said, if you want to have a failover, although I haven't done it, I think there's a different solution than the one you've imagined, and it is, in essence, the same solution you'd use with two different ISPs in each location.  It depends on having IPsec parameters and certs in place on the Ciscos that are identical to those in the Astaros except they should be set to not initiate a VPN.

    In each Astaro, create an Availability Group with the remote Astaro in the first position and the remote Cisco in the second.  Use this as the 'Gateway' in the 'Remote Gateway' in place of the current remote Astaro host definition.  Now if the tunnel to the remote Astaro goes down, the local Astaro will connect to the remote Cisco.

    Is that what you wanted to accomplish?  If you try this and find you have to do something else to make it work, please come back here and tell us. [[;)]]

    Cheers - Bob
    PS As for 2, above, I think (again, I haven't tested it personally) that VPN routes come before manually-created routes.  So, if you chose a different solution than the one I've suggested, you could create a static route that only would be considered when the VPN went down.
  • 0 in reply to BAlfson
    Bob,

    Thanks for the reply.

    The problem I had with the tunnel was that I was using 192.168.1.0 instead of 192.168.0.0, which I still don't understand why I had to use .0.0, but that was the only thing I changed and the tunnel came right up.

    I forgot to mention that on one side of the ASG tunnel, we have two ASG's in HA at the other end is just one lonely 220 [:(] 

    Is there anyway to be alerted if the tunnel goes down? Or should I submit that one to Astaro?
  • 0
    Already a feature request: Notifications: IPSEC Tunnel Up/Down (Online/Offline) Alert.

    I thought some more about the above suggestion in case anyone gets to try it.  As Jshakour says, a static gateway route would be needed on both sides.  What I don't know is whether the routing in the VPN configuration is active if the VPN tunnel is down, as that would prevent the static route from working. Does anyone know?

    The more I think about it, the more I think the best answer is to use two ISPs at least in the main site, 'Uplink Interfaces' (Uplink Balancing) for the main site's 'IPsec Connection' 'Local Interface' and, in the remote site, an 'Availability Group' for the 'Gateway' in the 'Remote Gateway'.  If you also got a second ISP for the remote site, then 'Uplink Interfaces' would be used for that site's 'IPsec Connection' 'Local Interface' and, in the main site, an 'Availability Group' for the 'Gateway' in the 'Remote Gateway'.

    Cheers - Bob
    PS I corrected/clarified my suggestion.
    PPS I'm sure you know it, but if someone else reads this... If you have the same subnet (192.168.1.0/24) on both sides, the routing can't work.
  • 0
    thanks for the reply Bob, I just gave 3 of my votes to the tunnel notification feature. Lets get this one up the ladder!