Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 2858 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site2Site IPSec VPN ASG110 - MS TMG 2010

FrankGabriel
Hi All,

we have our Microsoft ISA 2004 ugraded to TMG 2010 (on a new machine). The Astaro FW is 7.507.

Now our Site2Site IPSec VPN (ASG110 TMG) have trouble in IPSEC Phase 2. We play around with the settings; but no success. Does anybody have an idea or the same problem?

Here are the log:

##############################################################
:
: | NAT-T: new mapping 172.172.172.172:4500/500) 
: "S_Unknown Object" #6027: pfkey_msg_build of Add SA esp.8eb8e95@172.20.109.20 failed, code -22 
: "S_Unknown Object" #6026: pfkey_msg_build of Add SA esp.8eb8e94@172.20.109.20 failed, code -22 
: "S_Unknown Object" #6030: NAT-Traversal: Result using RFC 3947: i am NATed 
: "S_Unknown Object" #6030: Peer ID is ID_IPV4_ADDR: '172.172.172.172' 
: | NAT-T: new mapping 172.172.172.172:500/4500) 
: "S_Unknown Object" #6027: pfkey_msg_build of Add SA esp.8eb8e95@172.20.109.20 failed, code -22 
: "S_Unknown Object" #6030: sent MR3, ISAKMP SA established 
: "S_Unknown Object" #6030: cannot respond to IPsec SA request because no connection is known for 192.168.2.0/24===172.20.109.20:4500...172.172.172.172:4500 
: "S_Unknown Object" #6030: sending encrypted notification INVALID_ID_INFORMATION to 172.172.172.172:4500 
: "S_Unknown Object" #6031: responding to Quick Mode 
: "S_Unknown Object" #6031: IPsec SA established {ESP=>0x162cef84 0x14176a70 0xdeb7f205 0x404a9d59 0xc7387f9a 0x8a60ad5b 0x1d2e88eb 


This thread was automatically locked due to age.
Parents
  • 0
    Hi, Frank, and welcome to the User BB!

    Please show pics of the 'IPsec Connection' and the 'Remote Gateway' for this VPN.  It looks like the problem occurs before the lines above.  Can you show the log (no debugging selected yet) from the time you enable the IPsec connection?  Also, be sure to change each IP consistently so that it's easy to tell one from another.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    the ISA server is still in place. Only for this VPN. We do not change anything on the ASG. The ASG shows under Site-To-Site all green and down under IPSec is also all green when the TMG is connected. 

    Right now I cannot delivere any log with the TMG. TMG is not connected.

    We have a case by Microsoft open and they agreed that there is a problem. So....
    Are there someone out there that bring this two up and working together?

    Frank
  • 0 in reply to FrankGabriel
    Hi Frank,
    did you get a solution to this Problem from Microsoft?
    We are having the same problem here in Munich... TMG2010  ASG => opened a thread in the German Forum: https://community.sophos.com/products/unified-threat-management/astaroorg/f/68/t/59926

    Christian
Reply Children
No Data