Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 10329 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site2Site IPsec VPN Problems

ccnaman
Hello all, I'm having a problem setting up a VPN with our ASG V8 to a Cisco ASA 5520. I set up the remote gateway and the connection, I have a green light and good tunnel, however I cannot communicate between the internal networks. Do I also have to set up a route or maybe a NAT rule? I thought that between the gateway and connection I should be all set. When I try to ping the remote internal network from the tools menu in ASG, I get this in the log. 

 cannot respond to IPsec SA request because no connection is known for 192.9.0.0/23===xx.152.200.154[xx.152.200.154]...***.82.200.4[***.82.200.4]===192.168.150.63/32

What am I missing?

Thanks in advance,
Richard


This thread was automatically locked due to age.
  • 0
    Hi, did you define the local and remote networks on both ends?

    Barry
  • 0
    Yes, defined remote network in the remote gateway and the local in the connection. Oh, wait... I don't know what's defined on the Cisco end, it is a vendor of ours. I could be banging my head for nothing... Let me check with them.
  • 0 in reply to ccnaman
    Well, he says he's got it set on his side. I just can't figure this out.
  • 0
    Richard, please show us the IPsec log lines for a single connection attempt.

    Cheers - Bob
  • 0
    Here's what comes up when I try to ping inside their ASA...

    2013:04:08-08:07:50 dartmofw01 pluto[30313]: "S_REF_IpsSitTrident_0" #253: initiating Main Mode to replace #246
    2013:04:08-08:07:50 dartmofw01 pluto[30313]: "S_REF_IpsSitTrident_0" #253: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2013:04:08-08:07:50 dartmofw01 pluto[30313]: "S_REF_IpsSitTrident_0" #253: ignoring Vendor ID payload [FRAGMENTATION c0000000]
    2013:04:08-08:07:50 dartmofw01 pluto[30313]: "S_REF_IpsSitTrident_0" #253: enabling possible NAT-traversal with method RFC 3947
    2013:04:08-08:07:50 dartmofw01 pluto[30313]: "S_REF_IpsSitTrident_0" #253: ignoring Vendor ID payload [Cisco-Unity]
    2013:04:08-08:07:50 dartmofw01 pluto[30313]: "S_REF_IpsSitTrident_0" #253: received Vendor ID payload [XAUTH]
    2013:04:08-08:07:50 dartmofw01 pluto[30313]: "S_REF_IpsSitTrident_0" #253: ignoring Vendor ID payload [33ebd61cfaa55a072f59e81cbe0cc407]
    2013:04:08-08:07:50 dartmofw01 pluto[30313]: "S_REF_IpsSitTrident_0" #253: ignoring Vendor ID payload [Cisco VPN 3000 Series]
    2013:04:08-08:07:50 dartmofw01 pluto[30313]: "S_REF_IpsSitTrident_0" #253: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected
    2013:04:08-08:07:50 dartmofw01 pluto[30313]: "S_REF_IpsSitTrident_0" #253: received Vendor ID payload [Dead Peer Detection]
    2013:04:08-08:07:50 dartmofw01 pluto[30313]: | protocol/port in Phase 1 ID Payload is 17/0. accepted with port_floating NAT-T
    2013:04:08-08:07:50 dartmofw01 pluto[30313]: "S_REF_IpsSitTrident_0" #253: Peer ID is ID_IPV4_ADDR: '208.82.200.4'
    2013:04:08-08:07:50 dartmofw01 pluto[30313]: "S_REF_IpsSitTrident_0" #253: ISAKMP SA established
    2013:04:08-08:39:52 dartmofw01 pluto[30313]: "S_REF_IpsSitTrident_0" #254: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP to replace #251 {using isakmp#253}
    2013:04:08-08:39:52 dartmofw01 pluto[30313]: "S_REF_IpsSitTrident_0" #254: sent QI2, IPsec SA established {ESP=>0x2f8a6641 
  • 0
    Does anyone have any ideas as to why this isn't working?

    Thanks,
    Richard
  • 0
    Hi, Richard,

    Those lines appear to be selected from the file - we need to see one, entire section of the file.  Disable the IPsec Connection, start the IPsec Live Log and enable the Connection.  That will give you a complete log for a single connection attempt.  Also, [Go Advanced] below and attach pictures of the IPsec Connection, Remote Gateway and the Policy.

    Cheers - Bob
  • 0 in reply to BAlfson
    Okay Bob... I also have a pic showing tunnel status. Thanks for your help

    2013:04:11-14:59:00 dartmofw01 pluto[30313]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
    2013:04:11-14:59:00 dartmofw01 pluto[30313]: loading attribute certificates from '/etc/ipsec.d/acerts'
    2013:04:11-14:59:00 dartmofw01 pluto[30313]: Changing to directory '/etc/ipsec.d/crls'
    2013:04:11-14:59:00 dartmofw01 pluto[30313]: "S_Trident": deleting connection
    2013:04:11-14:59:00 dartmofw01 pluto[30313]: "S_Trident" #497: deleting state (STATE_QUICK_I2)
    2013:04:11-14:59:00 dartmofw01 pluto[30313]: "S_Trident" #491: deleting state (STATE_MAIN_I4)
    2013:04:11-14:59:00 dartmofw01 pluto[30313]: "S_Trident" #498: deleting state (STATE_MAIN_I4)
    2013:04:11-14:59:00 dartmofw01 pluto[30313]: "S_Trident": deleting connection
    2013:04:11-14:59:00 dartmofw01 pluto[30313]: "S_Trident" #496: deleting state (STATE_QUICK_I2)
    2013:04:11-14:59:00 dartmofw01 pluto[30313]: packet from 208.82.200.4:500: Informational Exchange is for an unknown (expired?) SA
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: listening for IKE messages
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: forgetting secrets
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: loading secrets from "/etc/ipsec.secrets"
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: loaded PSK secret for 66.152.200.154 %any
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: loaded PSK secret for 66.152.200.154 208.82.200.4
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: loaded private key from 'dartmofw01.bcso-ma.org.pem'
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: forgetting secrets
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: loading secrets from "/etc/ipsec.secrets"
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: loaded PSK secret for 66.152.200.154 %any
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: loaded PSK secret for 66.152.200.154 208.82.200.4
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: loaded private key from 'dartmofw01.bcso-ma.org.pem'
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: loading ca certificates from '/etc/ipsec.d/cacerts'
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: loading aa certificates from '/etc/ipsec.d/aacerts'
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: loading attribute certificates from '/etc/ipsec.d/acerts'
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: Changing to directory '/etc/ipsec.d/crls'
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: added connection description "S_Trident"
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: "S_Trident" #499: initiating Main Mode
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: added connection description "S_Trident"
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: "S_Trident" #499: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: "S_Trident" #499: ignoring Vendor ID payload [FRAGMENTATION c0000000]
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: "S_Trident" #499: enabling possible NAT-traversal with method RFC 3947
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: "S_Trident" #499: ignoring Vendor ID payload [Cisco-Unity]
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: "S_Trident" #499: received Vendor ID payload [XAUTH]
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: "S_Trident" #499: ignoring Vendor ID payload [0cabee015bb806153a7059b278cb2ecb]
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: "S_Trident" #499: ignoring Vendor ID payload [Cisco VPN 3000 Series]
    2013:04:11-14:59:36 dartmofw01 pluto[30313]: "S_Trident" #499: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected
    2013:04:11-14:59:37 dartmofw01 pluto[30313]: "S_Trident" #499: received Vendor ID payload [Dead Peer Detection]
    2013:04:11-14:59:37 dartmofw01 pluto[30313]: | protocol/port in Phase 1 ID Payload is 17/0. accepted with port_floating NAT-T
    2013:04:11-14:59:37 dartmofw01 pluto[30313]: "S_Trident" #499: Peer ID is ID_IPV4_ADDR: '208.82.200.4'
    2013:04:11-14:59:37 dartmofw01 pluto[30313]: "S_Trident" #499: ISAKMP SA established
    2013:04:11-14:59:37 dartmofw01 pluto[30313]: "S_Trident" #500: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#499}
    2013:04:11-14:59:37 dartmofw01 pluto[30313]: "S_Trident" #501: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#499}
    2013:04:11-14:59:37 dartmofw01 pluto[30313]: "S_Trident" #500: sent QI2, IPsec SA established {ESP=>0x41d030dc 0x78163ab7 
  • 0
    Any help would be really appreciated...

    Thanks,
    Richard
  • 0
    That all looks good to me. Check the Intrusion Prevention log just in case, but I guess you don't have the same networks on both sides. Maybe ask the Cisco admin to send you a picture or that section of his config. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.