Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 8191 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG IPsec VPN to Cisco Pix

xboxgeek
ASG 120 (8.103) --> Cisco Asa 5505 (7.2)

Configured as per KB IPsec VPN guide from Astaro, but no luck getting it work, keep getting "Informational Exchange message must be encrypted" from Astaro log.

Cisco log show "IP = a.b.c.d, Header invalid, missing SA payload! (next payload = 4)".

try search internet but yet still no luck with other peoples solution.
any 1 encounter this error b4?


Cheers
XboXgeek


This thread was automatically locked due to age.
  • 0
    Without digging through your log file, I wonder if you don't have the Cisco configured in "Aggressive" mode instead of "Main" mode - Astaro does not support the former.

    Cheers - Bob
  • 0 in reply to BAlfson
    The Cisco it's "MAIN" mode.

    what i see it's way b4 phase 1 procedure, just not sure which portion, hope any1 here face similar scenario can provide some clueds.


    Cheers
    XboxGeek
  • 0
    By the way, I see that you're new here - Welcome to the User BB!

    My next quick guess would be a cert/PSK/RSA Key issue.  Try resetting/recopying in/to the Cisco whatever you've chosen in Astaro's 'Authentication type' for the 'Remote Gateway' definition.

    Cheers - Bob
  • 0
    I did a little hunt for the error message "Informational Exchange message must be encrypted" and found a few posts over the years that had the exact same error.  In every case, it was a configuration error. One guy had a very long key and only copy/pasted part of it over.  You may want to recreate the setups on both ends to be certain that everything is correct.

    Is this the Guide that you used for setup:  https://support.astaro.com/support/index.php/ASG_V7_to_Cisco_ASA_5505_IPSec_VPN_Example ?
  • 0 in reply to Scott_Klassen
    i found the miss-configuration portion, yeah, my issue is resolved.

    there is a "know-issue" for CISCO ASA5500 series firmware 7.2, followed the resolution , and resolved my issue.

    thanks for the advise.

    cheers
    XboxGeek
  • 0
    No problem.  If you could post the details of the fix or a link to something explaining it, that would be great.  Might help others in future.  [:)]
  • 0
    Base on Astaro KB VPN to Cisco ASA guide.

    Cisco Wizard (Step 2 of 6) 
    - Peer IP Address: External Adress from the Astaro 
    - select Pre-shared key and insert your PSK 
    - Optinal the Tunnel Group Name, if you want a other name.
    - Click "Next >" 

    red color = base on the "know issue", it has to be IP instead of "Name"
    orange color = well, Yes and No, base on which firmware you have, Cisco i mean.

    Cheers
    XboxGeek