Site-to-Site VPN to Windows Azure

Hi all

Wondering if anyone successfully created a site-to-site VPN to Azure's new Virtual Network. 

Tried several options based on the Cisco and Juniper configs provided by MSFT, but to no avail. Usually stuck with a "no connection has been authorized with policy=PSK" message.

Running 8.3 on a UTM-120. 

Cheers,
Dan
  • Digging around a bit, I found About VPN Devices for Virtual Network.  What are your policy settings on the Astaro?
  • hello, i have the same problem.

    these are my policy settings:

    2012:07:03-11:03:38 asg-2 pluto[8702]: packet from 168.63.13.46:1024: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008]
    2012:07:03-11:03:38 asg-2 pluto[8702]: packet from 168.63.13.46:1024: received Vendor ID payload [RFC 3947]
    2012:07:03-11:03:38 asg-2 pluto[8702]: packet from 168.63.13.46:1024: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2012:07:03-11:03:38 asg-2 pluto[8702]: packet from 168.63.13.46:1024: ignoring Vendor ID payload [FRAGMENTATION]
    2012:07:03-11:03:38 asg-2 pluto[8702]: packet from 168.63.13.46:1024: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]
    2012:07:03-11:03:38 asg-2 pluto[8702]: packet from 168.63.13.46:1024: ignoring Vendor ID payload [Vid-Initial-Contact]
    2012:07:03-11:03:38 asg-2 pluto[8702]: packet from 168.63.13.46:1024: ignoring Vendor ID payload [IKE CGA version 1]
    2012:07:03-11:03:38 asg-2 pluto[8702]: packet from 168.63.13.46:1024: initial Main Mode message received on 194.208.34.253:500 but no connection has been authorized with policy=PSK 


    policy settings:

    Policy_Azure
    Compression off, not using strict policy.
    IKE Settings: AES 128 / SHA1 / Group 2: MODP 1024   Lifetime: 28800 seconds
    IPSec Settings: AES 128 / SHA1 / Null (None)   Lifetime: 3600 seconds

    any ideas?
  • In reply to sebastian.mair:

    Has anyone had any success with this?  I am attempting to set this up without any luck.
  • Hi, Dan and corehealth, and welcome to the User BB!

    Sebastian, try with:

    IKE Settings: AES 128 / SHA1 / Group 2: MODP 1024 Lifetime: 28800 seconds
    IPSec Settings: AES 128 / SHA1 / Group 2: MODP 1024 Lifetime: 3600 seconds



    Did that work?

    Cheers - Bob
  • In reply to BAlfson:

    I believe I have everything set up as described.  This is the message that seems relavent in the log:

    2012:07:10-09:39:32 astaro-1 pluto[7667]: "S_for VPN Users"[360] [AzureGatewayIP]:1024 #1133: next payload type of ISAKMP Identification Payload has an unknown value: 73
     
    2012:07:10-09:39:32 astaro-1 pluto[7667]: "S_for VPN Users"[360] [AzureGatewayIP]:1024 #1133: malformed payload in packet. Probable authentication failure (mismatch of preshared secrets?)
     
    2012:07:10-09:39:32 astaro-1 pluto[7667]: "S_for VPN Users"[360] [AzureGatewayIP]:1024 #1133: sending encrypted notification PAYLOAD_MALFORMED to [AzureGatewayIP]:1024
  • That looks like a different problem - your Pre-Shared Key doesn't match.

    Cheers - Bob
  • I've double check my pre-shared key and it's the same one that is provided.  Is there anything else that I should be looking at?
  • Try again with a very simple PSK.  You can make a complex one when the simple one works.  If it doesn't, then please post all of the log lines for a single connection attempt.

    Cheers - Bob
  • Unfortunately we don't have control over the format of the key as it's generated by Azure.  The key looks something like this: 3gciwsoC1Ww9UxOQK9iFfLdFJZrq3riKPmncaE6NJaN0Nffd5P.

    The only option available is to regenerate it.
  • What about that space at the end?  You might check to be certain you have the exact number of characters.

    Cheers - Bob
  • I've confirmed that the exact number of characters has been entered (50).
  • It might be the password, but we'd need to look at all of the log lines from one failed connection attempt. 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • Hi,

    I'm having the same issue that was posted initially:

    2012:07:13-17:32:42 asg-mtl pluto[24404]: packet from 168.62.36.83:1032: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008]
    2012:07:13-17:32:42 asg-mtl pluto[24404]: packet from 168.62.36.83:1032: ignoring Vendor ID payload [RFC 3947]
    2012:07:13-17:32:42 asg-mtl pluto[24404]: packet from 168.62.36.83:1032: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2012:07:13-17:32:42 asg-mtl pluto[24404]: packet from 168.62.36.83:1032: ignoring Vendor ID payload [FRAGMENTATION]
    2012:07:13-17:32:42 asg-mtl pluto[24404]: packet from 168.62.36.83:1032: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]
    2012:07:13-17:32:42 asg-mtl pluto[24404]: packet from 168.62.36.83:1032: ignoring Vendor ID payload [Vid-Initial-Contact]
    2012:07:13-17:32:42 asg-mtl pluto[24404]: packet from 168.62.36.83:1032: ignoring Vendor ID payload [IKE CGA version 1]
    2012:07:13-17:32:42 asg-mtl pluto[24404]: packet from 168.62.36.83:1032: initial Main Mode message received on xx.xx.xx.xx:500 but no connection has been authorized with policy=PSK
    2012:07:13-17:32:43 asg-mtl pluto[24404]: packet from 72.21.209.225:500: received Vendor ID payload [Dead Peer Detection]

    Any ideas?

    IKE encryption: AES 128
    IKE authentication:SHA1
    IKE SA: 28800
    IKE DH: Group 2: MODP 1024

    IPSec encryption: AES 128
    IPSec authentication:SHA1
    IPSec SA: 3600
    IPSec PFS: Group 2: MODP 1024
  • I've opened a support request with Astaro.  I'll post back once I get more information.  I was hoping to find out if anyone else had been successful.
  • Hi, Astaro support was able to get things up and running for me.  The trick is to use a respond only gateway to azure and the policies need to match the following:

    Gateway:
    Gateway type: response only


    IKE encryption: AES 128
     IKE authentication:SHA1
     IKE SA: 28800
     IKE DH: Group 2: MODP 1024
     
    IPSec encryption: AES 128
     IPSec authentication:SHA1
     IPSec SA: 28800
     IPSec PFS: None

    You will also need to enable probing of preshared keys on the advanced tab.

    Hopefully this helps someone else.