Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 3552 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPsec S2S vpn with certificate does not work with ASA

most_ahdy
Hi ,
  I have Astaro 220 box version 8.305 .
I tried to establish an IPsec S2S vpn with certificate with a cisco ASA 5510.
but it can not be established although I configured all phase 1 and phase 2 policy same in Astaro and ASA and also the lifetime.
-Certificates is issues by external CA.
-IPsec PFS group is enabled in both side.
-No strict policy nor compression configured in both side.
-There is no natting.
-No DPD Nor CRL configured.

-Please note that the same configuration is working but with preshared key.
Kindly find the attached log of the ASTARO and ASA .
Thanks,
Mostafa Aly


This thread was automatically locked due to age.
  • 0
    I know that Perfect Forward Secrecy (PFS) only works with some vendors, the ASG definitely supports it but are you sure the other side does?  Have you tried it without PFS?

    These log messages to me indicate a misconfiguration on one end or the other.  I would double check your configuration.

    5|Nov 04 2012|15:56:06|713904|||||IP = E.F.G.H, Received encrypted packet with no matching SA, dropping
    5|Nov 04 2012|15:56:06|713092|||||Group = E.F.G.H, IP = E.F.G.H, Failure during phase 1 rekeying attempt due to collision
  • 0
    Hi Mostafa

    Could you please post the phase 1 and phase 2 settings and the configuration on both sides?

    Thanks
  • 0
    There's not enough information in the ASG log file.  Always begin by posting with NO debugging enabled.  Please post the log lines from a single connection attempt.

    Cheers - Bob
  • 0 in reply to BAlfson
    Sorry for the delay!!
    Hi Mostafa

    Could you please post the phase 1 and phase 2 settings and the configuration on both sides?

    Thanks


    kindly find the attached screenshot for the setting as per your request and for all setting in IPsec.

    There's not enough information in the ASG log file. Always begin by posting with NO debugging enabled. Please post the log lines from a single connection attempt.


    kindly find the attached log output as per your request.
    Thanks,
    Mostafa Aly
  • 0
    I couldn't open any of the png files in the Zip.  The IPsec log indicates that the problem is the certificate being used.

    Cheers - Bob
  • 0
    Hi, 
    The issue is in Certificate as Bob suggest.
    I used Astaro as CA and issue certificate for both Astaro and ASA and the tunnel is established successfully .
    But the customer use Window 2008 server as CA for issuing certificate for both ASA and Astaro, so I wonder if any one has experience in using Window 2008 server CA to issue certificates for Astaro or ASA?!
    I'll create another post for using Window 2008 server CA for issuing certificates for Astaro.
    Thanks,
    Mostafa Aly