Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 5098 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site VPN with 2 ASG

wingman
Hi All

I am trying to setup a site to site ipsec with 2 ASG

ASG_1
=======
Version 8.201
external Ip is 87.xx.xx.xx (public)

ASG_2
=======
Version 8.103
external IP is 192.168.0.8 (as ISP router is Nat'ing)

Topology looks like

ASG_1(software appliance) ----modem ======ipsec======ISProuter-----ASG_2(virtual appliance) on a windows 2011 home server 

I have attached the logs for both ASG. We both use RSA and VPN ID (hostname) so that we won't have the issue as described here

However, ASG_2 has an external Gateway set as 192.168.0.8 (because of the ISP router) and therefore we are unable to connect

Troubleshooting steps
################
1)We have forwarded ports from ISP router to ASG_2 (500 AND 4500)
2)Both ASG can ping each other

**pending logs from ASG_2

Thanks


This thread was automatically locked due to age.
  • 0
    Hi, try setting the real (post nat) IP of ASG2 on ASG1, and set ASG2 to initiate the VPN.

    Barry
  • 0 in reply to BarryG
    Hi, try setting the real (post nat) IP of ASG2 on ASG1, and set ASG2 to initiate the VPN.

    Barry


    Hi Barry 

    I've tried the new settings with no luck. i've attached the logs from both ASG and the ASG2 configuration. 
    ASG1 is using vpn ID as IP and ASG1 is using vpn ID as hostname (they both match each other)

    Thanks
    ASG1.zip
  • 0
    With RSA yo should use the hostname, which you configured under the RSA tab. And BOTH sides shold use hostname (not ip or something else...)
  • 0
    Wingman, I'm not able to unzip your files.  Could you post just the excerpts that relate to a single connection attempt? (After making the change Sascha suggests.)

    Cheers - Bob
  • 0
    I have made the changes and both sites are using VPN ID as host(via dyndns) and RSA key. I have also attached the logs with full debugging. With both have initiate tunnel as an option and the issue I can see from my log is the one below 

    route owner of "S_REF_IpsSitAntonis_0" unrouted: "X_REF_IpsSitAntonis_1" prospective erouted; eroute owner: "X_REF_IpsSitAntonis_1" prospective erouted

    2011:09:20-20:15:57 *** pluto[7790]: "S_REF_IpsSitAntonis_0" #3: cannot route -- route already in use for "X_REF_IpsSitAntonis_1"

    2011:09:20-20:15:57 *** pluto[7790]: | state transition function for STATE_QUICK_R1 had internal error

    2011:09:20-20:15:57 *** pluto[7790]: | next event EVENT_RETRANSMIT in 2 seconds for #1


    I have attached the relevant logs with no debug enabled for IKE and it seems that the problem is routing related 

    cannot route -- route already in use for "X_Antonis"


    Any thoughts?
    ASG1_full debug.zip
  • 0 in reply to wingman
    Hi Wingman,

    I'll look at this closer when I get to work (a couple hours) but a few things pop out at me.

    1) ASG1 should be 'respond only.' I've never had luck setting up VPN's with both endpoints as "initiate." ASG2 can be initiate as it's behind a NAT.

    2)You have to use the public IP's at both ends for your gateway & remote gateway settings. 192.168.x.y isn't publicly routable so any decent router on the ISP's side will drop the packets as gargbage.

    3) Does your ISP's modem/router(s) support IPSEC passthrough? Some don't and if so, unless you can get a better modem/router, you're basically hosed if that's the case
  • 0 in reply to TheDrew
    Hi Wingman,

    I'll look at this closer when I get to work (a couple hours) but a few things pop out at me.

    1) ASG1 should be 'respond only.' I've never had luck setting up VPN's with both endpoints as "initiate." ASG2 can be initiate as it's behind a NAT.

     I've tried to set ASG1 as respond only with RSA and VPN ID set as the hostname with no luck. The problem seems to be the routing issue (attached)



    2)You have to use the public IP's at both ends for your gateway & remote gateway settings. 192.168.x.y isn't publicly routable so any decent router on the ISP's side will drop the packets as gargbage.

    We are both using vpn ID as hostname which shouldn't  be an issue assuming that ports are being forwarded correctly (that's on ASG2) (which they are)


    3) Does your ISP's modem/router(s) support IPSEC passthrough? Some don't and if so, unless you can get a better modem/router, you're basically hosed if that's the case


    yes it does and already allowed

    Thanks
  • 0
    According to a post I found by Andreas Steffen (the developer of StrongSWAN, the underlying IPsec technology in Astaro) on the StrongSWAN site, "The IKEv1 pluto daemon is just not able to install multiple eroutes with the same rightsubnet" - in other words, you're trying to establish a second VPN with the same remote subnet.

    Are you holding out on us?  Something that you didn't want to share? [;)]

    Cheers - Bob
  • 0
    I have turned off all my remote vpn settings and not sure where that installed route is. According to the log I am getting "cannot route -- route already in use for "X_REF_IpsSitAntonis_1" . 


    ****:/root # cc X_REF_IpsSitAntonis_1
    X_REF_IpsSitAntonis_1 returned ''
    [
              'FUNCTION_UNKNOWN',
              {
                'attrs' => [
                             'method'
                           ],
                'fatal' => 1,
                'format' => 'No public function \'%s\' is provided by this Confd.',
                'method' => 'X_REF_IpsSitAntonis_1',
                'msgtype' => 'FUNCTION_UNKNOWN',
                'name' => 'No public function \'X_REF_IpsSitAntonis_1\' is provided                                               by this Confd.',
                'never_hide' => 0
              }
            ]

    Any suggestions?
  • 0
    Can you get any further information from WebAdmin at Support>>Advanced>>Resolve Ref_?