Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[S2S] ASG v8 > Zyxel ZyWall 2 - Not as easy as it seems

Hello,

I am stucking for hours with the following.

The situation.

2 Locations. Both have a cable modem.

Location 1: Cable modem assigns the external IP to the ASG gateway, directly after it. Behind the ASG is the network, on a other NIC.

Location 2: Needs protection. Site 2 site VPN is the method. Cable modem assigns the WAN IP to the Zyxel ZyWall 2. I am started to set it up. Shoulnd't be that difficult.

Well, no. I exactly putted the settings over in the ZyWall. I generated the cert on the ASG, and pushed it to the ZyWall. All set. Lets go? No. Error...

2011:05:11-18:38:10 GATEWAY01 pluto[519]: "S_S-VPN01" #18: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
2011:05:11-18:38:10 GATEWAY01 pluto[519]: "S_S-VPN01" #18: starting keying attempt 2 of an unlimited number
2011:05:11-18:38:10 GATEWAY01 pluto[519]: "S_S-VPN01" #19: initiating Main Mode
2011:05:11-18:38:11 GATEWAY01 pluto[519]: "S_S-VPN01" #19: received Vendor ID payload [Dead Peer Detection]
2011:05:11-18:38:11 GATEWAY01 pluto[519]: "S_S-VPN01" #19: ignoring Vendor ID payload [625027749d5ab97f5616c1602765cf480a3b7d0b]
2011:05:11-18:38:12 GATEWAY01 pluto[519]: "S_S-VPN01" #19: we have a cert and are sending it
2011:05:11-18:38:13 GATEWAY01 pluto[519]: "S_S-VPN01" #19: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2011:05:11-18:38:13 GATEWAY01 pluto[519]: "S_S-VPN01" #19: Peer ID is ID_FQDN: 'ZYWALL-LOCATION2'
2011:05:11-18:38:13 GATEWAY01 pluto[519]: "S_S-VPN01" #19: ISAKMP SA established
2011:05:11-18:38:13 GATEWAY01 pluto[519]: "S_S-VPN01" #20: initiating Quick Mode PUBKEY+ENCRYPT+TUNNEL+PFS+UP {using isakmp#19}
2011:05:11-18:38:13 GATEWAY01 pluto[519]: "S_S-VPN01" #19: ignoring informational payload, type INVALID_ID_INFORMATION
2011:05:11-18:38:13 GATEWAY01 pluto[519]: "S_S-VPN01" #19: received Delete SA payload: deleting ISAKMP State #19
2011:05:11-18:38:13 GATEWAY01 pluto[519]: packet from *.*.*.*:500: Informational Exchange is for an unknown (expired?) SA 


Aha. Called the Astaro support, they where very kind. I have been transferred 3 times to other people, the last 2 have worked on the case about 1,5 hours... Guess what? Close, but no cigar.

Edit: Update, see post below.

Thanks for all the clues.


This thread was automatically locked due to age.
Parents
  • There! I fixed it myself! I nearly don't know what I have done, but the tunnel is up now! I try to reconstruct it, will be helpfull for the future.

    Now I have a new problem. I am at the "server side" of the config right now. Only one IP, the first, of the Zyxel is reachable. All the other IP's of the opposite side don't work. I have setted the remote network as remote network, and my network as "the local side". Any idea what is going on?
Reply
  • There! I fixed it myself! I nearly don't know what I have done, but the tunnel is up now! I try to reconstruct it, will be helpfull for the future.

    Now I have a new problem. I am at the "server side" of the config right now. Only one IP, the first, of the Zyxel is reachable. All the other IP's of the opposite side don't work. I have setted the remote network as remote network, and my network as "the local side". Any idea what is going on?
Children
No Data