Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 3845 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help Needed IPSec Tunnel

PabloDiablo
Hi All,

I'm trying to setup an IPSec Tunnel between my Astaro and work (Juniper). I'm unable to setup a tunnel and with the following in the log:

my PC - Astaro === Juniper - PC

#6: responding to Main Mode
#6: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected
#6: ignoring informational payload, type IPSEC_INITIAL_CONTACT
#6: Peer ID is ID_IPV4_ADDR: 'Work external IP'
#6: Dead Peer Detection (RFC 3706) enabled
#6: sent MR3, ISAKMP SA established
#6: cannot respond to IPsec SA request because no connection is known for 0.0.0.0/0=== "my external IP"["my external IP"]..."Work external IP"[Work external IP"]===PC/32
#6: sending encrypted notification INVALID_ID_INFORMATION to "Work external IP":500 

I have 2 external interface and 1 with a astatic IP (my external IP). I also have Masquerading from LAN to Uplink interfaces and a rule LAN - any - any.
Also a Multipath Rule LAN - any - Second Interface.

The ruling of the other side only allows my PC IP, so I guess the problem is the 0.0.0.0/0 but I configured in:
Site-to-Site -> IPSec -> Connections -> "Local Networks" added here my PC...

Can anyone help to solve this isssue?

TIA


This thread was automatically locked due to age.
  • 0
    wel, I found out what the problem is/was. The IPsec part had no FPS and I had Group 2.
    So I have a tunnel bunt now there's no data/flow between the 2 PC's...

    Do I need to make a NAT or FW rule or route?
  • 0
    Hi, if you didn't check Auto PacketFilter Rule in the VPNs, then yes, you need packetfilter rules.

    Maybe you already have a rule allowing traffic from the home PC to ANY; that would allow the traffic FROM home TO work, but not vice-versa.

    You shouldn't need NAT or MASQ to access the PC at work, as long as the Network addressing is different between work and home.

    Barry
  • 0 in reply to BarryG
    Hi, if you didn't check Auto PacketFilter Rule in the VPNs, then yes, you need packetfilter rules.

    Maybe you already have a rule allowing traffic from the home PC to ANY; that would allow the traffic FROM home TO work, but not vice-versa.

    You shouldn't need NAT or MASQ to access the PC at work, as long as the Network addressing is different between work and home.

    Barry


    Thanks for your reply. I will take a look at my Packet Filter...
  • 0 in reply to PabloDiablo
    Well I added a Packet Filter (rule) from PC/Work -> ANY -> PC/Home but it didn't work.
    So I logged into ASG with SSH and run (as root) route and I see:

    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    192.168.0.0      *               255.255.255.0   U     0      0        0 eth0
    PC/work IP       *               255.255.252.255   UH     0      0        0 eth2
    ADSL IP           *               255.255.252.0   U     0      0        0 eth2
    CABLE IP          *               255.255.252.0   U     0      0        0 eth1
    loopback          *               255.0.0.0       U     0      0        0 lo

    and with "ifconfig" I only see: eth0,eth1,eth2 and lo but I expected also an tun/tap or am I wrong?
    Also when I traceroute (in the CLI console) "PC/Work IP" it goes to eth0 and goes to internet?!?! What is going wrong?
  • 0
    I think that manually entered static routes won't work for VPN traffic - that the traffic is already "in" or "out" of the tunnel before the manual routes are considered.

    Please show pictures of your 'IPsec Connection' and 'Remote Gateway' and confirm that you have NAT-T enabled on the 'Advanced' tab.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks for your reply. Here the screenshots...
  • 0
    I suspect you have an error in 'Local networks' or 'Remote networks', but I can't tell by looking at the picture. [;)]  The other possibility is that the Juniper (I'm not familiar with that device) needs a firewall rule allowing the traffic.

    Cheers - Bob
  • 0 in reply to BAlfson
    Well, the firewall-guy was forgotten to make a route to my private PC's :S
    I'm now able to ping the other side but no RDP-sessions and he promised me to allow any protocol...I made a PF-rule to allow "work PC's" -> ANY -> "My PC's ..."
    So the questions is if I have not made enough rules or he...
  • 0
    Check your PF and IPS logs; if nothing's showing up there, then it's probably a problem on the other end.

    Running tcpdump on Astaro's VPN and INT interfaces would be a good check as well.

    Barry
  • 0 in reply to BarryG
    Check your PF and IPS logs; if nothing's showing up there, then it's probably a problem on the other end.

    Running tcpdump on Astaro's VPN and INT interfaces would be a good check as well.

    Barry


    Thanks for the reply. The problem was indeed at the other site and is solved now [:)]
    (...finally...sigh...)