Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 52289 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC VPN ID Question

snooty
Hello,

I am stuck on a issue which is probably very simple but cannot work it out [:S]  Any help would be appreciated.

I am trying to set up a IPSEC Site2Site Tunnel allong the following setup:

(LocalNet:192.168.210.0/24)--(LocalAstaro WAN:192.168.0.105)--(LocalRouterWAN:81.222.205.125)
===Internet===
(HeadOfficeWAN:85.196.155.70)--(HeadOfficeNet:192.168.150.0/25)

So the local astaro is stuck behind a router which gives it the IP:192.168.0.105

Now I know that the solution to this is to enable NAT (Done)
and set the VPN ID at the local side to 81.222.205.125 and it should work.
As the Headoffice VPN is set to communicate to 81.222.205.125

The question is how to set the local VPN ID to 81.222.205.125???

I had thought this would be set in Remote Gateway -- VPN ID Type: IP Address -- VPN ID 81.222.205.125
but this seems to have no effect?

The tunnel that is displayed is:
SA: 192.168.210.0/24=192.168.0.105   85.196.155.70=192.168.150.0/24
VPN ID: 192.168.0.105
Error: No connection

Clearly the tunnel will not work until I am able to set the VPN ID: 81.222.205.125
but how????????? [:O]

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    Yes it is an ASG on the other side, I am running things in test mode at the momement.

    We normally run Cisco ASA units (5505 at each Branch End and 5520 at HeadEnd)
    and I am testing to see if Astaro is a better fit for our needs.
    The lack of simple White list URL filtering on the 5505 units among other things is a major pain in the ***.

    By specify the remote gateway VPN ID IP address easily - you mean set the gateway host IP as 192.168.0.105?

    If so then yes you are correct in that at the HeadEnd I could specify the VPN ID for the branch end as 192.168.0.105 on the headend side. (Especially now that I know this is the problem!)

    But I am partly trying to develop a 'neat' solution so that it can be scaled up without issue and partly learn at the same time [:D]

    While not a network expert, in the few lessons that I had I was always taught to always restrict the ID to fixed IP addresses to increase security. 
    Of course this may be totally wrong [:$]


    Thanks
    Peter
  • 0 in reply to snooty

    While not a network expert, in the few lessons that I had I was always taught to always restrict the ID to fixed IP addresses to increase security. 


    You have to differentiate between the IP address and a VPN ID of type IP address. While in the PSK case the local ID is always the same as the IP, ASG allows the remote IPsec peer to have an VPN ID of different type (have I backported this to V7?) and value than the peer address. Maybe this was different with Cisco - don't know - and you have to unlearn it.

    Regarding better security by having a static IP as address and VPN ID I have to say that the improvement is rather small. The only thing you have to know is the public IP address of the peer of the host you need to attack and you can forge packets that pass the packet filter. If you choose the VPN ID, which is encrypted in IKE Main Mode, to be the same as the public IP it's actually easier to guess for the attacker. However, the main hurdle is the strength of you PSK. If an attacker can get you to look at her VPN ID, that means that she got the PSK right because you successfully decrypted the message containing the ID. It also means that you have chosen the PSK to be too weak. So IDs matter not that much for security as you might think. Of course they are another barrier, but not the important one.
Reply
  • 0 in reply to snooty

    While not a network expert, in the few lessons that I had I was always taught to always restrict the ID to fixed IP addresses to increase security. 


    You have to differentiate between the IP address and a VPN ID of type IP address. While in the PSK case the local ID is always the same as the IP, ASG allows the remote IPsec peer to have an VPN ID of different type (have I backported this to V7?) and value than the peer address. Maybe this was different with Cisco - don't know - and you have to unlearn it.

    Regarding better security by having a static IP as address and VPN ID I have to say that the improvement is rather small. The only thing you have to know is the public IP address of the peer of the host you need to attack and you can forge packets that pass the packet filter. If you choose the VPN ID, which is encrypted in IKE Main Mode, to be the same as the public IP it's actually easier to guess for the attacker. However, the main hurdle is the strength of you PSK. If an attacker can get you to look at her VPN ID, that means that she got the PSK right because you successfully decrypted the message containing the ID. It also means that you have chosen the PSK to be too weak. So IDs matter not that much for security as you might think. Of course they are another barrier, but not the important one.
Children
No Data
Cookie Information Banner