Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 3 subscribers
  • Views 27471 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM9 => Checkpoint IPSec S2S VPN

thentom
Hi,
I established an IPSec Site2Site VPN between our UTM and a Checkpoint Firewall. 
Both sides are using networks (not hosts) to be encrypted.
local: 10.33.86.0/24  remote: 172.20.250.0/24
The tunnel works, I can reach IPs in remote network 172.20.250.0/24
but the remote network can't reach IP's in my local network 10.33.86.0/24

This is the corresponding error message:

2013:01:03-18:14:38 fw-1 pluto[24905]: "S2S_1" #12: cannot respond to IPsec SA request because no connection is known for 10.33.86.5/32===***.***.x.2[***.***.***.2]...***.***.***.4[***.***.***.4]===172.20.250.10/32
2013:01:03-18:14:38 fw-1 pluto[24905]: "SS2S_1" #12: sending encrypted notification INVALID_ID_INFORMATION to ***.***.***.4:500

To work around this issue I added the host 10.33.86.5/32 to our local networks and 172.20.250.10/32 to the remote networks. As result, all IPs in 10.33.86.0/24 were reachable from remote side.
We compared everything 10 times. Tunnels between 2 Astaro UTMs are working as expected.
Does anybody have an idea about this?
Cheers
Thomas


This thread was automatically locked due to age.
  • 0
    To work around this issue I added the host 10.33.86.5/32 to our local networks and 172.20.250.10/32 to the remote networks. As result, all IPs in 10.33.86.0/24 were reachable from remote side.


    Hi,
    What are those 2 IPs?

    Barry
  • 0 in reply to BarryG


    Hi,
    What are those 2 IPs?

    Barry


    10.33.86.5 is the UTM IP in my local network, means the gateway for all hosts in 10.33.86.0/24 and the other IP is any host within the remote network.
    Thentom
  • 0
    Had you already defined the Local and Remote networks, or were these IPs all you put in them?
    You do need to put your networks that you want to communicate over the VPN into those settings.

    If you're still having issues, please post screenshots of the configuration (hit 'Go Advanced' in this forum to upload attachments).

    Barry
  • 0 in reply to BarryG
    Had you already defined the Local and Remote networks, or were these IPs all you put in them?
    You do need to put your networks that you want to communicate over the VPN into those settings.

    If you're still having issues, please post screenshots of the configuration (hit 'Go Advanced' in this forum to upload attachments).

    Barry


    Hi, 
    As I wrote in my first post:
    local: 10.33.86.0/24  remote: 172.20.250.0/24 were defined.
    Communication from 172.20.250.x to 10.33.86.x was not working with these config.
    But it worked with local: 10.33.86.0/24 and 10.33.86.5/32  remote: 172.20.250.0/24, 
    where 10.33.86.5 is the UTMs local interface IP.
    So it works, but it looks strange to me and I thought someone could explain it.
    Cheers
    Thomas
  • 0
    Hi, Thomas, and a belated welcome to the User BB!

    You're right, that is strange.  If you'd like for us to help, please respond to Barry's request to add pictures of the IPsec Connection and Remote Gateway from both sides.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi,
    I will have to establish the same VPN connection with other company. UTM9 - Checkpoint.
    But i couldn't find not any successful example of UTM9+Checkpoint...

    Checkpoint admin side sent me this information:
    vpn-gateway - IP1; 
    vpn-domain - IP2; 
    Encryption Method - IKEv2, IKEv1; 
    Encryption Suite Phase1 - AES256/SHA1/Goup2(1024bit); 
    Encryption Suite Phase2 - AES128/SHA1/Goup2(1024bit); 

    1) Could you please tell me what information i need to enter into UTM9 
    2) what information i should give to checkpoint admin - he asks me of vpn-gateway, vpn-domain. 
    3) And what about certificates - we need to exchange with them also ?
  • 0
    after few hours of configuration i managed to setup VPN between UTM9 and Checkpoint and have similar problem.
    I can reach IP in remote network: REMOTE
    but the remote network can't reach IP in my local network: LOCAL

    My config looks like this:
    172.26.32.24/32=159.xx.xx.xx  (local)  193.xx.xx.xx=172.30.18.81/32 (remote)

    So I can ping and telnet to remote (172.30.18.81), but remote network can't reach local (172.26.32.24)
  • 0
    Ok. So i'm working on this problem all day. 
    I tried to telnet to remote gateway (from internet) to port 500. .and its OPEN. Maybe thats why remote IP 172.30.18.81 is available

    When i try to telnet from internet to local gateway it is closed.
    So i checked the Network Protection - FW log and there is line:
    16:19:05 Default DROP TCP 172.26.32.24:45199 159.xx.xx.xx:500

    I created allow FW rule like, but still it is droped with Default DROP:
    Source: Any
    services: VPN Protocols
    destination: Remote gateway
  • 0
    Others here can't help you if you don't respond to our requests for specific information.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    So there is additional info:
    LOCAL:
    Model ASG320
    Firmware version:9.004-34
    local network: 172.26.32.24
    local gateway: 159.xx.xx.xx
    IKE: Auth PSK / Enc AES_CBC_256 / Hash HMAC_SHA1 / Lifetime 7800s / PFS MODP_1024
    IPsec: Enc AES_CBC_128 / Hash HMAC_SHA1 / Lifetime 3600s

    REMOTE:
    Check Point R75.10
    vpn-gateway (remote gateway)- 193.xx.xx.xx; 
    vpn-domain (remote network) - 172.30.18.81; 
    Encryption Method - IKEv2, IKEv1; 
    Encryption Suite Phase1 - AES256/SHA1/Goup2(1024bit); 
    Encryption Suite Phase2 - AES128/SHA1/Goup2(1024bit);

    Please see attachments for screenshots of both systems.
    So I can reach remote (172.30.18.81), but remote network can't reach local (172.26.32.24)
    Checkpoint.zip
Unfiltered HTML