Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 4682 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN site-to-site ipsec with router BILLION 7402GX problems

alex.lanuza
Hi.

I have configured a VPN tunnel between my ASTARO UTM 9 in principal office and a remote router BILLION 7402GX.
In ASTARO i configured:
Name: VPN
Remote Gateway: 


Authentication type: Preshared KEY
Key: 123
Repeat:
VPN ID type: IP ADDRESS
VPN ID (optional):
Remote Networks: (Remote OFFICE IP Range)


Local Interface: External FO
Policy:

Name:
IKE encryption algorithm:3DES
IKE authentication algorithm: SHA1
IKE SA lifetime: 28800
IKE DH group: Group2 MODP 1024
IPsec encryption algorithm: 3DES
IPsec authentication algorithm: SHA1
IPsec SA lifetime: 28800
IPsec PFS group: Group2 MODP 1024
Strict policy: NO
Compression: NO


Local Networks: Internal0 (Network)
Automatic Firewall Rules: YES
Strict Routing: NO
Bind Tunnel to Local Interface: YES

I configured in BILLION Router:
Captura.jpg

But i can´t connect the VPN, ASTARO LOG give me 
2014:11:07-09:21:06 asg220 pluto[12552]: packet from 31.4.246.26:9403: initial Main Mode message received on 84.124.106.165:500 but no connection has been authorized with policy=PSK

I don´t know the problem and if is possible connect ASTARo and BILLION machines.
HELP!!!


This thread was automatically locked due to age.
  • 0
    First, compare your policies. They have to be the same on both sides of course. Second, get some informations what a secure policy looks like...
  • 0 in reply to UrsWeiss
    First, compare your policies. They have to be the same on both sides of course. Second, get some informations what a secure policy looks like...


    Sorry the image was worng.
    Now is correct but  problems continue.
  • 0
    Hi, Alex, and welcome to the User BB!

    The lifetimes in the UTM are in seconds - neither of those match the Billion.  You also must agree on Dead Peer Detection, but I don't see that on the Billion page.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    hi BAlfson.
    thanks for the reply
    both devices have the same time, one second and one in minutes the connection still does not work.
  • 0
    Phase 2: 60 mins != 28800 seconds. [;)]

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Phase 2: 60 mins != 28800 seconds. [;)]

    Cheers - Bob


    Sorry, is true.
    but i change this and VPN still down!!!

    HELP
    Question: is necesary create NAT rules? and if so, what ports are used by ipsec?

    THANKS!!
  • 0
    Let's look at the log lines from a single connection attempt.  With NO debug selected, disable the IPsec Connection, start the IPsec Live Log and then enabled the IPsec Connection.  Please post the result.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    2014:11:11-09:19:32 asg220 pluto[12552]: listening for IKE messages
    2014:11:11-09:19:32 asg220 pluto[12552]: forgetting secrets
    2014:11:11-09:19:32 asg220 pluto[12552]: loading secrets from "/etc/ipsec.secrets"
    2014:11:11-09:19:32 asg220 pluto[12552]:   loaded private key from 'REF_SoZatgRttR.pem'
    2014:11:11-09:19:32 asg220 pluto[12552]:   loaded PSK secret for 84.124.106.165 10.42.155.180 
    2014:11:11-09:19:32 asg220 pluto[12552]: forgetting secrets
    2014:11:11-09:19:32 asg220 pluto[12552]: loading secrets from "/etc/ipsec.secrets"
    2014:11:11-09:19:32 asg220 pluto[12552]:   loaded private key from 'REF_SoZatgRttR.pem'
    2014:11:11-09:19:32 asg220 pluto[12552]:   loaded PSK secret for 84.124.106.165 10.42.155.180 
    2014:11:11-09:19:32 asg220 pluto[12552]: loading ca certificates from '/etc/ipsec.d/cacerts'
    2014:11:11-09:19:32 asg220 pluto[12552]:   loaded ca certificate from '/etc/ipsec.d/cacerts/REF_ENfubkhzsd.pem'
    2014:11:11-09:19:32 asg220 pluto[12552]: loading aa certificates from '/etc/ipsec.d/aacerts'
    2014:11:11-09:19:32 asg220 pluto[12552]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
    2014:11:11-09:19:32 asg220 pluto[12552]: loading attribute certificates from '/etc/ipsec.d/acerts'
    2014:11:11-09:19:32 asg220 pluto[12552]: Changing to directory '/etc/ipsec.d/crls'
    2014:11:11-09:19:32 asg220 ipsec_starter[6156]: no default route - cannot cope with %defaultroute!!!
    2014:11:11-09:19:32 asg220 pluto[12552]: added connection description "S_REF_IpsSitVpnsanpant_0"
    2014:11:11-09:19:32 asg220 pluto[12552]: "S_REF_IpsSitVpnsanpant_0" #549: initiating Main Mode
    2014:11:11-09:19:36 asg220 pluto[12552]: packet from 77.209.224.119:30511: initial Main Mode message received on 84.124.106.165:500 but no connection has been authorized with policy=PSK
    2014:11:11-09:19:40 asg220 pluto[12552]: packet from 77.209.224.119:30511: initial Main Mode message received on 84.124.106.165:500 but no connection has been authorized with policy=PSK
    2014:11:11-09:19:44 asg220 pluto[12552]: packet from 77.209.224.119:30511: initial Main Mode message received on 84.124.106.165:500 but no connection has been authorized with policy=PSK
    2014:11:11-09:19:48 asg220 pluto[12552]: packet from 77.209.224.119:30511: initial Main Mode message received on 84.124.106.165:500 but no connection has been authorized with policy=PSK
    2014:11:11-09:19:52 asg220 pluto[12552]: packet from 77.209.224.119:30511: initial Main Mode message received on 84.124.106.165:500 but no connection has been authorized with policy=PSK
Unfiltered HTML