Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 3 subscribers
  • Views 26707 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM9 => Checkpoint IPSec S2S VPN

thentom
Hi,
I established an IPSec Site2Site VPN between our UTM and a Checkpoint Firewall. 
Both sides are using networks (not hosts) to be encrypted.
local: 10.33.86.0/24  remote: 172.20.250.0/24
The tunnel works, I can reach IPs in remote network 172.20.250.0/24
but the remote network can't reach IP's in my local network 10.33.86.0/24

This is the corresponding error message:

2013:01:03-18:14:38 fw-1 pluto[24905]: "S2S_1" #12: cannot respond to IPsec SA request because no connection is known for 10.33.86.5/32===***.***.x.2[***.***.***.2]...***.***.***.4[***.***.***.4]===172.20.250.10/32
2013:01:03-18:14:38 fw-1 pluto[24905]: "SS2S_1" #12: sending encrypted notification INVALID_ID_INFORMATION to ***.***.***.4:500

To work around this issue I added the host 10.33.86.5/32 to our local networks and 172.20.250.10/32 to the remote networks. As result, all IPs in 10.33.86.0/24 were reachable from remote side.
We compared everything 10 times. Tunnels between 2 Astaro UTMs are working as expected.
Does anybody have an idea about this?
Cheers
Thomas


This thread was automatically locked due to age.
Parents
  • 0
    Hi,
    I established an IPSec Site2Site VPN between our UTM and a Checkpoint Firewall. 
    Both sides are using networks (not hosts) to be encrypted.
    local: 10.33.86.0/24  remote: 172.20.250.0/24
    The tunnel works, I can reach IPs in remote network 172.20.250.0/24
    but the remote network can't reach IP's in my local network 10.33.86.0/24

    This is the corresponding error message:

    2013:01:03-18:14:38 fw-1 pluto[24905]: "S2S_1" #12: cannot respond to IPsec SA request because no connection is known for 10.33.86.5/32===***.***.x.2[***.***.***.2]...***.***.***.4[***.***.***.4]===172.20.250.10/32
    2013:01:03-18:14:38 fw-1 pluto[24905]: "SS2S_1" #12: sending encrypted notification INVALID_ID_INFORMATION to ***.***.***.4:500

    To work around this issue I added the host 10.33.86.5/32 to our local networks and 172.20.250.10/32 to the remote networks. As result, all IPs in 10.33.86.0/24 were reachable from remote side.
    We compared everything 10 times. Tunnels between 2 Astaro UTMs are working as expected.
    Does anybody have an idea about this?
    Cheers
    Thomas


    Please tell me which IP is your local and remote gateway IPs?

    I'm facesing same problem as you and adding local and remote networks does not help me [:(]
  • 0 in reply to pitonsxxl
    This seems to be the usual Checkpoint problem.

    Checkpoint has it's own philosophy how to include the defined networks into the requested SAs

    I have the problem that some of our customers (networks 10.xx.yy.0/24) try to open an SA with 10.0.0.0/8 or with 10.xx.yy.zz/32
    The SA only connects when the request comes from my side.

    I myself don't know Checkpoint, but some specialists told me, this unwanted sub-/superneting can only be repaired with command line scripts.
Reply
  • 0 in reply to pitonsxxl
    This seems to be the usual Checkpoint problem.

    Checkpoint has it's own philosophy how to include the defined networks into the requested SAs

    I have the problem that some of our customers (networks 10.xx.yy.0/24) try to open an SA with 10.0.0.0/8 or with 10.xx.yy.zz/32
    The SA only connects when the request comes from my side.

    I myself don't know Checkpoint, but some specialists told me, this unwanted sub-/superneting can only be repaired with command line scripts.
Children
  • 0 in reply to papa__01
    This seems to be the usual Checkpoint problem.

    Checkpoint has it's own philosophy how to include the defined networks into the requested SAs

    I have the problem that some of our customers (networks 10.xx.yy.0/24) try to open an SA with 10.0.0.0/8 or with 10.xx.yy.zz/32
    The SA only connects when the request comes from my side.

    I myself don't know Checkpoint, but some specialists told me, this unwanted sub-/superneting can only be repaired with command line scripts.


    What do you mean "The SA only connects when the request comes from my side." 
    What i need to change in UTM9 config ?
Unfiltered HTML