IPSEC VPN ID Question

Thanks, d12fk, for the detailed explanations - I don't think I'd ever internalized the importance of the IDs matching; I've always used certs with "Initiate connection" so I guess I've just been lucky!

Peter, the other downside of using a PSK in "Respond only" mode is that you can have only one such PSK per Astaro.  That means, the PSK for L2TP over IPsec would have to be identical.  Certainly not as secure as you would like!
New Information: It is now possible to do this in V8 and later, as d12fk notes below.  You have to select 'Enable probing of preshared keys' at the bottom of the 'Advanced' tab in 'IPsec'.

In any case, both RSA and X509 certs use asymmetric keys, and are a whole lot more secure than a PSK.  The advantage goes to X509 certs over RSA - you can revoke a certificate whereas you can't change the RSA key for just one site.

Cheers - Bob

While not a network expert, in the few lessons that I had I was always taught to always restrict the ID to fixed IP addresses to increase security. 

You have to differentiate between the IP address and a VPN ID of type IP address. While in the PSK case the local ID is always the same as the IP, ASG allows the remote IPsec peer to have an VPN ID of different type (have I backported this to V7?) and value than the peer address. Maybe this was different with Cisco - don't know - and you have to unlearn it.

Regarding better security by having a static IP as address and VPN ID I have to say that the improvement is rather small. The only thing you have to know is the public IP address of the peer of the host you need to attack and you can forge packets that pass the packet filter. If you choose the VPN ID, which is encrypted in IKE Main Mode, to be the same as the public IP it's actually easier to guess for the attacker. However, the main hurdle is the strength of you PSK. If an attacker can get you to look at her VPN ID, that means that she got the PSK right because you successfully decrypted the message containing the ID. It also means that you have chosen the PSK to be too weak. So IDs matter not that much for security as you might think. Of course they are another barrier, but not the important one.

Peter, the other downside of using a PSK in "Respond only" mode is that you can have only one such PSK per Astaro.  That means, the PSK for L2TP over IPsec would have to be identical.  Certainly not as secure as you would like!

That's only true for ASG V7. We added an option to allow multiple PSK for peers with unknown IP address in V8 (IPsec remote access, L2TP, IPsec respond only site-to-site). You can find it at the IPsec "Advanced" tab.

Thank you guys for the explanations, they were very helpful in saving me from pulling my hair out!

A couple of notes that I found as a result of my trials which I thought would be good to share.

* Regardless of whatever is set in the VPN ID at the BranchEnd, the HeadEnd will always only respond to the static ip set at the 
headend.
This means that while the VPN ID is required to be set with WAN IP (needed if the devices is behind a router), the headend will only respond to the static IP set. This would seem to be an improvement in security.

*However d12fk is correct in that this security is very poor for the following reason.
If the branchend is behind a router then you would appear to have no choice but to set the VPN ID to the same as the WANIP
(otherwise the tunnel will not work) which (as d12fk states) makes it easier for an attacker to hack.
I will need to rethink my security model [:O]

*From what I can see the Billion devices (used as low cost devices at the Branch End) for IPSEC do not allow anything other than preshared keys. It is therefore not possible to use RSA or X509 without upgrades at branch end.
I think I will have to do some research into low cost vpn devices for the branch end.

Thanks again for all your help
Peter