Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1153 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[S2S] ASG v8 > Zyxel ZyWall 2 - Not as easy as it seems

TuxBrother
Hello,

I am stucking for hours with the following.

The situation.

2 Locations. Both have a cable modem.

Location 1: Cable modem assigns the external IP to the ASG gateway, directly after it. Behind the ASG is the network, on a other NIC.

Location 2: Needs protection. Site 2 site VPN is the method. Cable modem assigns the WAN IP to the Zyxel ZyWall 2. I am started to set it up. Shoulnd't be that difficult.

Well, no. I exactly putted the settings over in the ZyWall. I generated the cert on the ASG, and pushed it to the ZyWall. All set. Lets go? No. Error...

2011:05:11-18:38:10 GATEWAY01 pluto[519]: "S_S-VPN01" #18: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
2011:05:11-18:38:10 GATEWAY01 pluto[519]: "S_S-VPN01" #18: starting keying attempt 2 of an unlimited number
2011:05:11-18:38:10 GATEWAY01 pluto[519]: "S_S-VPN01" #19: initiating Main Mode
2011:05:11-18:38:11 GATEWAY01 pluto[519]: "S_S-VPN01" #19: received Vendor ID payload [Dead Peer Detection]
2011:05:11-18:38:11 GATEWAY01 pluto[519]: "S_S-VPN01" #19: ignoring Vendor ID payload [625027749d5ab97f5616c1602765cf480a3b7d0b]
2011:05:11-18:38:12 GATEWAY01 pluto[519]: "S_S-VPN01" #19: we have a cert and are sending it
2011:05:11-18:38:13 GATEWAY01 pluto[519]: "S_S-VPN01" #19: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2011:05:11-18:38:13 GATEWAY01 pluto[519]: "S_S-VPN01" #19: Peer ID is ID_FQDN: 'ZYWALL-LOCATION2'
2011:05:11-18:38:13 GATEWAY01 pluto[519]: "S_S-VPN01" #19: ISAKMP SA established
2011:05:11-18:38:13 GATEWAY01 pluto[519]: "S_S-VPN01" #20: initiating Quick Mode PUBKEY+ENCRYPT+TUNNEL+PFS+UP {using isakmp#19}
2011:05:11-18:38:13 GATEWAY01 pluto[519]: "S_S-VPN01" #19: ignoring informational payload, type INVALID_ID_INFORMATION
2011:05:11-18:38:13 GATEWAY01 pluto[519]: "S_S-VPN01" #19: received Delete SA payload: deleting ISAKMP State #19
2011:05:11-18:38:13 GATEWAY01 pluto[519]: packet from *.*.*.*:500: Informational Exchange is for an unknown (expired?) SA 


Aha. Called the Astaro support, they where very kind. I have been transferred 3 times to other people, the last 2 have worked on the case about 1,5 hours... Guess what? Close, but no cigar.

Edit: Update, see post below.

Thanks for all the clues.


This thread was automatically locked due to age.
  • 0
    There! I fixed it myself! I nearly don't know what I have done, but the tunnel is up now! I try to reconstruct it, will be helpfull for the future.

    Now I have a new problem. I am at the "server side" of the config right now. Only one IP, the first, of the Zyxel is reachable. All the other IP's of the opposite side don't work. I have setted the remote network as remote network, and my network as "the local side". Any idea what is going on?
  • 0
    No one finds this interesting?

    I just find out the following.
    When I reach the Zywall Web Interface, it allows the traffic from 192.168.0.20 (HQ) to 10.245.32.1 (Remote).
    When I try to reach an other PC in the remote network, it drops the traffic from 192.168.0.1 (Astaro(!) HQ) to 10.245.32.2 (Other PC Remote). But I am using 192.168.0.20. Strange?

    I tried to disable the auto packet filter. I created packet filter rules:

    Internal -> Remote (Any)
    Remote -> Internal (Any)

    And a Masquerading rule:

    Remote -> Internal

    But I can't access any IP in the remote subnet except the first one... (ZyWall)

    In the ZyWall, I checked the logs. But that isn't the problem, check the attachment.

    I don't get the picture anymore. Does anybody get this?
  • 0
    In your PacketFilter rules, is 'remote' the remote NETWORK definition?

    Screen shots of everything would be helpful.

    Barry
  • 0
    Hello Barry,

    Please tell me from what things exactly I need to take screenshots? Also, if possible, tell me what private information I can fade out without making the information unusable.

    Thanks!
  • 0
    Pictures of 'IPsec Connection' and 'Remote Gateway' definitions.  Also pics of network definitions used in the VPN definition and any applicable packet filter rules.

    Cheers - Bob