Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 5101 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site VPN with 2 ASG

wingman
Hi All

I am trying to setup a site to site ipsec with 2 ASG

ASG_1
=======
Version 8.201
external Ip is 87.xx.xx.xx (public)

ASG_2
=======
Version 8.103
external IP is 192.168.0.8 (as ISP router is Nat'ing)

Topology looks like

ASG_1(software appliance) ----modem ======ipsec======ISProuter-----ASG_2(virtual appliance) on a windows 2011 home server 

I have attached the logs for both ASG. We both use RSA and VPN ID (hostname) so that we won't have the issue as described here

However, ASG_2 has an external Gateway set as 192.168.0.8 (because of the ISP router) and therefore we are unable to connect

Troubleshooting steps
################
1)We have forwarded ports from ISP router to ASG_2 (500 AND 4500)
2)Both ASG can ping each other

**pending logs from ASG_2

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    I have made the changes and both sites are using VPN ID as host(via dyndns) and RSA key. I have also attached the logs with full debugging. With both have initiate tunnel as an option and the issue I can see from my log is the one below 

    route owner of "S_REF_IpsSitAntonis_0" unrouted: "X_REF_IpsSitAntonis_1" prospective erouted; eroute owner: "X_REF_IpsSitAntonis_1" prospective erouted

    2011:09:20-20:15:57 *** pluto[7790]: "S_REF_IpsSitAntonis_0" #3: cannot route -- route already in use for "X_REF_IpsSitAntonis_1"

    2011:09:20-20:15:57 *** pluto[7790]: | state transition function for STATE_QUICK_R1 had internal error

    2011:09:20-20:15:57 *** pluto[7790]: | next event EVENT_RETRANSMIT in 2 seconds for #1


    I have attached the relevant logs with no debug enabled for IKE and it seems that the problem is routing related 

    cannot route -- route already in use for "X_Antonis"


    Any thoughts?
    ASG1_full debug.zip
  • 0 in reply to wingman
    Hi Wingman,

    I'll look at this closer when I get to work (a couple hours) but a few things pop out at me.

    1) ASG1 should be 'respond only.' I've never had luck setting up VPN's with both endpoints as "initiate." ASG2 can be initiate as it's behind a NAT.

    2)You have to use the public IP's at both ends for your gateway & remote gateway settings. 192.168.x.y isn't publicly routable so any decent router on the ISP's side will drop the packets as gargbage.

    3) Does your ISP's modem/router(s) support IPSEC passthrough? Some don't and if so, unless you can get a better modem/router, you're basically hosed if that's the case
Reply
  • 0 in reply to wingman
    Hi Wingman,

    I'll look at this closer when I get to work (a couple hours) but a few things pop out at me.

    1) ASG1 should be 'respond only.' I've never had luck setting up VPN's with both endpoints as "initiate." ASG2 can be initiate as it's behind a NAT.

    2)You have to use the public IP's at both ends for your gateway & remote gateway settings. 192.168.x.y isn't publicly routable so any decent router on the ISP's side will drop the packets as gargbage.

    3) Does your ISP's modem/router(s) support IPSEC passthrough? Some don't and if so, unless you can get a better modem/router, you're basically hosed if that's the case
Children
  • 0 in reply to TheDrew
    Hi Wingman,

    I'll look at this closer when I get to work (a couple hours) but a few things pop out at me.

    1) ASG1 should be 'respond only.' I've never had luck setting up VPN's with both endpoints as "initiate." ASG2 can be initiate as it's behind a NAT.

     I've tried to set ASG1 as respond only with RSA and VPN ID set as the hostname with no luck. The problem seems to be the routing issue (attached)



    2)You have to use the public IP's at both ends for your gateway & remote gateway settings. 192.168.x.y isn't publicly routable so any decent router on the ISP's side will drop the packets as gargbage.

    We are both using vpn ID as hostname which shouldn't  be an issue assuming that ports are being forwarded correctly (that's on ASG2) (which they are)


    3) Does your ISP's modem/router(s) support IPSEC passthrough? Some don't and if so, unless you can get a better modem/router, you're basically hosed if that's the case


    yes it does and already allowed

    Thanks