Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 2858 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site2Site IPSec VPN ASG110 - MS TMG 2010

FrankGabriel
Hi All,

we have our Microsoft ISA 2004 ugraded to TMG 2010 (on a new machine). The Astaro FW is 7.507.

Now our Site2Site IPSec VPN (ASG110 TMG) have trouble in IPSEC Phase 2. We play around with the settings; but no success. Does anybody have an idea or the same problem?

Here are the log:

##############################################################
:
: | NAT-T: new mapping 172.172.172.172:4500/500) 
: "S_Unknown Object" #6027: pfkey_msg_build of Add SA esp.8eb8e95@172.20.109.20 failed, code -22 
: "S_Unknown Object" #6026: pfkey_msg_build of Add SA esp.8eb8e94@172.20.109.20 failed, code -22 
: "S_Unknown Object" #6030: NAT-Traversal: Result using RFC 3947: i am NATed 
: "S_Unknown Object" #6030: Peer ID is ID_IPV4_ADDR: '172.172.172.172' 
: | NAT-T: new mapping 172.172.172.172:500/4500) 
: "S_Unknown Object" #6027: pfkey_msg_build of Add SA esp.8eb8e95@172.20.109.20 failed, code -22 
: "S_Unknown Object" #6030: sent MR3, ISAKMP SA established 
: "S_Unknown Object" #6030: cannot respond to IPsec SA request because no connection is known for 192.168.2.0/24===172.20.109.20:4500...172.172.172.172:4500 
: "S_Unknown Object" #6030: sending encrypted notification INVALID_ID_INFORMATION to 172.172.172.172:4500 
: "S_Unknown Object" #6031: responding to Quick Mode 
: "S_Unknown Object" #6031: IPsec SA established {ESP=>0x162cef84 0x14176a70 0xdeb7f205 0x404a9d59 0xc7387f9a 0x8a60ad5b 0x1d2e88eb 


This thread was automatically locked due to age.
  • 0
    Hi, Frank, and welcome to the User BB!

    Please show pics of the 'IPsec Connection' and the 'Remote Gateway' for this VPN.  It looks like the problem occurs before the lines above.  Can you show the log (no debugging selected yet) from the time you enable the IPsec connection?  Also, be sure to change each IP consistently so that it's easy to tell one from another.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    the ISA server is still in place. Only for this VPN. We do not change anything on the ASG. The ASG shows under Site-To-Site all green and down under IPSec is also all green when the TMG is connected. 

    Right now I cannot delivere any log with the TMG. TMG is not connected.

    We have a case by Microsoft open and they agreed that there is a problem. So....
    Are there someone out there that bring this two up and working together?

    Frank
  • 0
    If this is currently working with ISA, then the issue likely is in the TMG, as it seems you suspect. However, I wasn't looking for the log from the TMG, rather from the Astaro.  Also the pictures from the Astaro.

    Cheers - Bob
  • 0 in reply to BAlfson
    I try to establish an IPSEC Tunnel between two astaro 110/120.
    I've defined the 2 remote gateways with their protected Lan.
    the 2 policies are identical. There is no NAT, no route.

    No packet filter even defined yet.

    The main mode runs but the quick mode not.
    Logs are the same than the previous post:
    INVALID Message_ID
    INVALID_ID_INFORMATION
    cannot respond to IPSEC SA request because no connection is known for @ASG_WAN1... @ASG_WAN2 === @LAN1


    Any idea ?
  • 0
    Hi, and welcome to the User BB!

    Please show pics from both devices of the 'IPsec Connection' and the 'Remote Gateway' for this VPN.

    Cheers - Bob
  • 0
    I found my mistake.

    In the ipsec connection of one of my devices, the local network was the remote network...

    ESP runs now.

    Sorry for these posts
  • 0 in reply to FrankGabriel
    Hi Frank,
    did you get a solution to this Problem from Microsoft?
    We are having the same problem here in Munich... TMG2010  ASG => opened a thread in the German Forum: https://community.sophos.com/products/unified-threat-management/astaroorg/f/68/t/59926

    Christian