Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 27 replies
  • Subscribers 2 subscribers
  • Views 79306 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Issues with IPSec site-to-site to ASG behind/ in front of NAT

coewar
There is a problem with the AMI. When creating an IPsec site-to-site VPN connection, it's assuming to use the Internal NIC's private IP which is wrong. And hence the opposite router has errors like this:

 we require peer to have ID 'xx.xx.xx.xx', but
peer declares '10.243.45.92'

where 'xx.xx.xx.xx' is the public IP of the Astaro.

I have tested also by creating 2 Astaro EC2 instances and they can't VPN to each other.

So then I also tried adding my own IP alias to the Internal NIC, and I can't! It complains saying that it's write-protected.

I assume these things will be fixed?


This thread was automatically locked due to age.
Parents
  • 0
    Hi coewar,

    Enable NAT-T on both nodes and

    on the Amazon side, keep VPNID empty.

    on your remote side:
     * configure right with the PUBLIC ip address of your Amazon instance
     * configure rightid with the PRIVATE ip address of your Amazon instance

    Alternatively you can also have the remote side as respond only tunnel
    with right=%any

    Note: Amazon only forwards ICMP, UDP and TCP to instances on the EC2 space.
    If you run instances on the VPC space, you can also have all other protocols.

    Cheers
     Ulrich
Reply
  • 0
    Hi coewar,

    Enable NAT-T on both nodes and

    on the Amazon side, keep VPNID empty.

    on your remote side:
     * configure right with the PUBLIC ip address of your Amazon instance
     * configure rightid with the PRIVATE ip address of your Amazon instance

    Alternatively you can also have the remote side as respond only tunnel
    with right=%any

    Note: Amazon only forwards ICMP, UDP and TCP to instances on the EC2 space.
    If you run instances on the VPC space, you can also have all other protocols.

    Cheers
     Ulrich
Children
Unfiltered HTML