Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 52294 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC VPN ID Question

snooty
Hello,

I am stuck on a issue which is probably very simple but cannot work it out [:S]  Any help would be appreciated.

I am trying to set up a IPSEC Site2Site Tunnel allong the following setup:

(LocalNet:192.168.210.0/24)--(LocalAstaro WAN:192.168.0.105)--(LocalRouterWAN:81.222.205.125)
===Internet===
(HeadOfficeWAN:85.196.155.70)--(HeadOfficeNet:192.168.150.0/25)

So the local astaro is stuck behind a router which gives it the IP:192.168.0.105

Now I know that the solution to this is to enable NAT (Done)
and set the VPN ID at the local side to 81.222.205.125 and it should work.
As the Headoffice VPN is set to communicate to 81.222.205.125

The question is how to set the local VPN ID to 81.222.205.125???

I had thought this would be set in Remote Gateway -- VPN ID Type: IP Address -- VPN ID 81.222.205.125
but this seems to have no effect?

The tunnel that is displayed is:
SA: 192.168.210.0/24=192.168.0.105   85.196.155.70=192.168.150.0/24
VPN ID: 192.168.0.105
Error: No connection

Clearly the tunnel will not work until I am able to set the VPN ID: 81.222.205.125
but how????????? [:O]

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    Hi d12fk

    >>That made snooty a sad panda...
    That put a smile on my face, thank you [:)]

    Thanks for the explanation, it has saved me further headscratching trying to work out what I was doing wrong.

    Just as a point of information for anybody else facing the same problem....

    The only way around this issue that I have discovered is set the headoffice as respond only rather than initiate contact.
    This way the headoffice site does not need to know the branchend ip address.
    This would also be useful not only in my situation but also where the branchend has a dynamic IP.
    I have tested this and it works, however it is obviously less secure as the branchend is no longer restricted to a specific ip address.
    (although now I am not sure how much security that really affords given that devices such as the Billion can set their VPN ID).

    I will take your suggestion and look into RSA/x509 based authentication in the future but thought it would be better to start
    with what I already know!

    Once again thanks for all you help.

    Peter
Reply
  • 0
    Hi d12fk

    >>That made snooty a sad panda...
    That put a smile on my face, thank you [:)]

    Thanks for the explanation, it has saved me further headscratching trying to work out what I was doing wrong.

    Just as a point of information for anybody else facing the same problem....

    The only way around this issue that I have discovered is set the headoffice as respond only rather than initiate contact.
    This way the headoffice site does not need to know the branchend ip address.
    This would also be useful not only in my situation but also where the branchend has a dynamic IP.
    I have tested this and it works, however it is obviously less secure as the branchend is no longer restricted to a specific ip address.
    (although now I am not sure how much security that really affords given that devices such as the Billion can set their VPN ID).

    I will take your suggestion and look into RSA/x509 based authentication in the future but thought it would be better to start
    with what I already know!

    Once again thanks for all you help.

    Peter
Children
  • 0 in reply to snooty
    From the log file I've seen that there is strongSwan running on the other site as well. Is it an ASG? If so, you could specify the remote gateway VPN ID IP address easily. Or can't you because you have no access to that machine?
Cookie Information Banner