Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 8166 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site 2 Site VPN fails when target has multiple interfaces

mrainey
SG 310 V 9-312-8
I have VPN's connected to a group of mobile cradlepoint routers with aircards for Internet access. All is good. HOWEVER; because of the terrain where they travel, they are now being outfitted with 2 aircards, 1 each from 2 different vendors. Seemed pretty simple, I should be able to just create an availability group on the Sophos and use that in the gateway. Sadly, doesn't work. I get "no connection has been authorized for policy=PSK" I tried setting UTM to respond only, but get Invalid ID. Any hope?


This thread was automatically locked due to age.
Parents
  • 0
    The best approach will be to use X509 certificates as the VPN server in "Respond Only" will be able to differentiate "callers" by the cert each presents, and this approach is the most secure and easiest to manage long-term.

    You could do this with different PSKs, but best practice says that they should be changed at least every quarter if not monthly (I'd say monthly with mobile units).  RSA keys also should allow for differentiation, but, given the number of units, go with X509.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thanks for the suggestion Bob. I created a cert on my test Cradlepoint and imported it into the Sophos. I get the unknown public key error:

    -08:58:22 aceutm pluto[6231]: "S_CDoT 38005 1100-560"[1] 24.221.75.168 #96642: Peer ID is ID_IPV4_ADDR: '24.221.75.168'
    2015:07:13-08:58:22 aceutm pluto[6231]: "S_CDoT 38005 1100-560"[1] 24.221.75.168 #96642: crl not found
    2015:07:13-08:58:22 aceutm pluto[6231]: "S_CDoT 38005 1100-560"[1] 24.221.75.168 #96642: certificate status unknown
    2015:07:13-08:58:22 aceutm pluto[6231]: "S_CDoT 38005 1100-560"[1] 24.221.75.168 #96642: no public key known for '24.221.75.168'
    2015:07:13-08:58:22 aceutm pluto[6231]: "S_CDoT 38005 1100-560"[1] 24.221.75.168 #96642: sending encrypted notification INVALID_KEY_INFORMATION to 24.221.75.168:500
    2015:07:13-08:58:22 aceutm pluto[6231]: "S_CDoT 38005 1100-560"[1] 24.221.75.168 #96642: Peer ID is ID_IPV4_ADDR: '24.221.75.168'
    2015:07:13-08:58:22 aceutm pluto[6231]: "S_CDoT 38005 1100-560"[1] 24.221.75.168 #96642: crl not found
    2015:07:13-08:58:22 aceutm pluto[6231]: "S_CDoT 38005 1100-560"[1] 24.221.75.168 #96642: certificate status unknown
    2015:07:13-08:58:22 aceutm pluto[6231]: "S_CDoT 38005 1100-560"[1] 24.221.75.168 #96642: no public key known for '24.221.75.168'
    2015:07:13-08:58:22 aceutm pluto[6231]: "S_CDoT 38005 1100-560"[1] 24.221.75.168 #96642: sending encrypted notification INVALID_KEY_INFORMATION to 24.221.75.168:500
Reply
  • 0 in reply to BAlfson
    Thanks for the suggestion Bob. I created a cert on my test Cradlepoint and imported it into the Sophos. I get the unknown public key error:

    -08:58:22 aceutm pluto[6231]: "S_CDoT 38005 1100-560"[1] 24.221.75.168 #96642: Peer ID is ID_IPV4_ADDR: '24.221.75.168'
    2015:07:13-08:58:22 aceutm pluto[6231]: "S_CDoT 38005 1100-560"[1] 24.221.75.168 #96642: crl not found
    2015:07:13-08:58:22 aceutm pluto[6231]: "S_CDoT 38005 1100-560"[1] 24.221.75.168 #96642: certificate status unknown
    2015:07:13-08:58:22 aceutm pluto[6231]: "S_CDoT 38005 1100-560"[1] 24.221.75.168 #96642: no public key known for '24.221.75.168'
    2015:07:13-08:58:22 aceutm pluto[6231]: "S_CDoT 38005 1100-560"[1] 24.221.75.168 #96642: sending encrypted notification INVALID_KEY_INFORMATION to 24.221.75.168:500
    2015:07:13-08:58:22 aceutm pluto[6231]: "S_CDoT 38005 1100-560"[1] 24.221.75.168 #96642: Peer ID is ID_IPV4_ADDR: '24.221.75.168'
    2015:07:13-08:58:22 aceutm pluto[6231]: "S_CDoT 38005 1100-560"[1] 24.221.75.168 #96642: crl not found
    2015:07:13-08:58:22 aceutm pluto[6231]: "S_CDoT 38005 1100-560"[1] 24.221.75.168 #96642: certificate status unknown
    2015:07:13-08:58:22 aceutm pluto[6231]: "S_CDoT 38005 1100-560"[1] 24.221.75.168 #96642: no public key known for '24.221.75.168'
    2015:07:13-08:58:22 aceutm pluto[6231]: "S_CDoT 38005 1100-560"[1] 24.221.75.168 #96642: sending encrypted notification INVALID_KEY_INFORMATION to 24.221.75.168:500
Children
No Data
Unfiltered HTML