Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 601 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site VPN 2 ASG boxes not working

knebroski
Hi,
I have an ASG320 that has a couple VPN tunnels up and running.
I added an ASG220 to a remote site.
I've configured a new tunnel to this site exactly as I have a couple other sites that have 220s and they will not connect.  I've gone back many times and deleted all the entries from both boxes, redone them making sure my key was exactly the same, etc but no luck.

Both are running 7.507, the 320 is on the new licensing model and the 220 is on the old licensing model.
What log can I view that might give me a clue as to why this one isn't working?


This thread was automatically locked due to age.
Parents
  • 0
    The IPsec logs from both sides.

    When using PSKs, there is one trap that I've fallen into in the past: you can have only a single PSK for all "Respond only" 'Remote Gateway' definitions.  This includes the PSK used in the 'L2TP over IPsec' 'Remote Access' configuration.  If you don't have a fixed IP for the remote site, you can set up DynDNS and use the FQDN to create a "DNS Host" definition.  In any case, you must either use the same PSK for all, or you must organize to be able to change to "Initiate connection" where you want a different PSK.

    If you are concerned at all about the security of your VPN, the PSK approach is the least secure of the choices available.  Both RSA keys and certificates offer the security of public+private keys, but certificates have revocation lists and chains of trust, and so are the most secure.  Using certs between two ASGs is very straightforward and well documented in a KnowledgeBase article.

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob (got the name right [:)] ), the vpn connection is setup as initiate.  The new 220 has two tunnels defined that are both initiate and neither works.  The PSK for both connections are different, but I will change them to match - but will never hold my breath on this!

    Kevin
Reply
  • 0 in reply to BAlfson
    Bob (got the name right [:)] ), the vpn connection is setup as initiate.  The new 220 has two tunnels defined that are both initiate and neither works.  The PSK for both connections are different, but I will change them to match - but will never hold my breath on this!

    Kevin
Children
No Data