Importare configurazioni da v7

(Again, sorry for writing in English; I can read most things, but I can't write. Please respond in Italian.)
That logfile shows that the configuration was indeed broken by the upgrade.  I wonder if it would work if you were to create a new policy exactly like the old one and use that instead.

Ciao - Bob

Ok Bob, proverò a creare una policy come quella esistente con un nome diverso...ti farò sapere.

Ok Bob, I'll try to create a new policy like the existing one but with different name...I let you know.

Ho clonato la policy originale cambiando solo il nome.
Poi ho applicato la nuova policy su entrambi i firewall ma come prima, la VPN è su ma il traffico non gira.
Quindi sembra proprio che con SHA non funzioni.

I cloned the original policy by changing the name.
Then I applied the new policy on both the firewall, but as before, the VPN is up but traffic does not turn.
So it seems that does not work with SHA.

Quindi sembra proprio che con SHA non funzioni.

Banalissima domanda: hai provato solo la SHA o anche SHA 256 e SHA 512? Giusto per capire se è l'intero algoritmo SHA a non funzionare o solo una delle sue implementazioni.

....il problema è solo con SHA2. Con SHA1 funziona e anche con SHA2 384.
Con SHA2 256 e 512 non funziona.
Sarà un caso ma tutte le policy di default hanno MD5 come "IPSec authentication algorithm"....

...ormai direi che il problema è conclamato.
Devo modificare la policy su ogni ASG che aggiorno alla v8.
Sarebbe interessante capire se è dovuto a problemi durante l'importazione della configurazione oppure si presenta anche su una installazione v8 "vergine"....

...ormai direi che il problema è conclamato.
Devo modificare la policy su ogni ASG che aggiorno alla v8.
Sarebbe interessante capire se è dovuto a problemi durante l'importazione della configurazione oppure si presenta anche su una installazione v8 "vergine"....

L'unica cosa che ho potuto constatare leggendo il forum internazionale è che anche un altro utente ha avuto problemi con la VPN IPSEC dopo l'upgrade alla 8. Una pura supposizione: sembra che nella 8.100 beta 2 abbiano risolto alcuni bug relativi alle vpn, forse quindi l'upgrade non c'entra molto, ma più probabile che il bug si presenti anche in installazioni ex-novo.

...ormai direi che il problema è conclamato.

Ho una mezza novità in merito alla questione che hai sollevato (mezza perché non mi ha convinto del tutto). Un membro del forum internazionale, nonché tecnico Astaro, mi ha riferito che dalla v8 l'algoritmo SHA2 è RFC compliant, pertanto il problema ricadrebbe sul tuo client VPN, che a quanto pare non rispetterebbe gli standard per l'sha2. La cosa che non mi convince è che nel tuo precedente post scrivevi che la vpn ti funzionava sia con SHA1 che con SHA2 384. Quindi la domanda che mi faccio è: perché l'sha2 384 ti funziona? Strano [:)] Comunque stanno valutando la possibilità di inserire nella v8.2 un'opzione per garantire la compatibilità anche con i client non rfc-compliant. 

Curiosità: quale client usi?

ciao

Ho una mezza novità in merito alla questione che hai sollevato (mezza perché non mi ha convinto del tutto). Un membro del forum internazionale, nonché tecnico Astaro, mi ha riferito che dalla v8 l'algoritmo SHA2 è RFC compliant, pertanto il problema ricadrebbe sul tuo client VPN, che a quanto pare non rispetterebbe gli standard per l'sha2. La cosa che non mi convince è che nel tuo precedente post scrivevi che la vpn ti funzionava sia con SHA1 che con SHA2 384. Quindi la domanda che mi faccio è: perché l'sha2 384 ti funziona? Strano [:)] Comunque stanno valutando la possibilità di inserire nella v8.2 un'opzione per garantire la compatibilità anche con i client non rfc-compliant. 

Curiosità: quale client usi?

ciao

Ciao, forse non sono stato chiaro nei miei post ma gli unici attori nelle mie configurazioni IPSec sono solo firewalls Astaro.
La situazione di partenza vedeva tutti firewall Astaro versione 7.5xx con vari tunnel IPSec configurati. Il problema è sorto con la prima migrazione a v8 di un firewall che aveva tunnel IPSec con vari altri firewall Astaro che erano ancora in v7.
Non so quindi se è un problema di compatibilità tra v8 e v7....non ho tempo di provare se la SHA2 256 e 512 funziona tra due v8. Appena riuscirò ad aggiornare uno di quei firewall alla v8, proverò a riutilizzare la vecchia policy....

Ciao, forse non sono stato chiaro nei miei post ma gli unici attori nelle mie configurazioni IPSec sono solo firewalls Astaro.
La situazione di partenza vedeva tutti firewall Astaro versione 7.5xx con vari tunnel IPSec configurati. Il problema è sorto con la prima migrazione a v8 di un firewall che aveva tunnel IPSec con vari altri firewall Astaro che erano ancora in v7.
Non so quindi se è un problema di compatibilità tra v8 e v7....non ho tempo di provare se la SHA2 256 e 512 funziona tra due v8. Appena riuscirò ad aggiornare uno di quei firewall alla v8, proverò a riutilizzare la vecchia policy....

Scusami, non avevo capito che era una site-to-site vpn! Come non detto [:)]

Ciao, forse non sono stato chiaro nei miei post ma gli unici attori nelle mie configurazioni IPSec sono solo firewalls Astaro.
La situazione di partenza vedeva tutti firewall Astaro versione 7.5xx con vari tunnel IPSec configurati. Il problema è sorto con la prima migrazione a v8 di un firewall che aveva tunnel IPSec con vari altri firewall Astaro che erano ancora in v7.
Non so quindi se è un problema di compatibilità tra v8 e v7....non ho tempo di provare se la SHA2 256 e 512 funziona tra due v8. Appena riuscirò ad aggiornare uno di quei firewall alla v8, proverò a riutilizzare la vecchia policy....

Scusami, non avevo capito che era una site-to-site vpn! Come non detto [:)]