Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 4327 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC ASG220 -> Symantec 320

klindsay
Astaro ASG220 ver. 8.302
Symantec 320 2.1.0(1336)


Hello, 

I'm trying to create a Site to Site IPSEC VPN between these two pieces of hardware but can't quite get it to work.
I can get the tunnel to come up, both devices will show "connected" but I can only get traffic to flow from the Astaro to the Symantec.  I can ping any device on the Symantec device's LAN from the Astaro LAN but not the reverse.  I can't see anything in the logs of either device showing the traffic as "blocked" so I'm at a loss as to where to even look next.  

My setup (on the Astaro) looks like this:
Policy 
(3DES, SHA1, Group1)

Remote Gateway
(Preshared key, VPN ID Type = IP Address, Remote Network = 10.1.15.0/24)

Connection
(Local Interface = External(WAN), Policy= Symantec 320, Local Networks= 10.1.1.0/24, Auto Firewall Rules = Checked, Strict Routing = Un-Checked

Any hints or suggestions on where to look next would be greatly appreciated.
Thank you


This thread was automatically locked due to age.
Parents
  • 0
    After trying every possible combination of policy values (that exist in both the ASG and the Symantec)

    There's a good chance that you will need to make a custom policy in either the Symantec or the Astaro.  Better to choose an AES-based policy as it is faster than 3DES and more-secure.  If you aren't doing top-secret stuff, AES 128 is probably adequate.  Can you duplicate the settings in the Symantec?

    Again, if the Symantec has Private & Public RSA keys, you're better off to exchange public keys.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob, 

    I had already created custom policies in both the ASG and the Symantec.

    The Symantec 320, unfortunately, does not have RSA as a VPN connection option.

    I have deleted the remote gateway and connection in the ASG and recreated everything. Still no Symantec -> ASG Internal traffic but ASG -> Symantec works perfectly.

    Bob, it feels like we're barking up the wrong tree here with the VPN parameters.  It feels more like a routing issue where the traffic is not being allowed onto the internal network from my Symantec.  I just seems weird to me that a tunnel would be created but a parameter "mismatch" would not allow 2 way traffic.  Wouldn't a tunnel either work completely or not work?  Half working seems odd as a tunnel creation issue.
Reply
  • 0 in reply to BAlfson
    Hi Bob, 

    I had already created custom policies in both the ASG and the Symantec.

    The Symantec 320, unfortunately, does not have RSA as a VPN connection option.

    I have deleted the remote gateway and connection in the ASG and recreated everything. Still no Symantec -> ASG Internal traffic but ASG -> Symantec works perfectly.

    Bob, it feels like we're barking up the wrong tree here with the VPN parameters.  It feels more like a routing issue where the traffic is not being allowed onto the internal network from my Symantec.  I just seems weird to me that a tunnel would be created but a parameter "mismatch" would not allow 2 way traffic.  Wouldn't a tunnel either work completely or not work?  Half working seems odd as a tunnel creation issue.
Children
No Data