This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Issues with IPSec site-to-site to ASG behind/ in front of NAT

There is a problem with the AMI. When creating an IPsec site-to-site VPN connection, it's assuming to use the Internal NIC's private IP which is wrong. And hence the opposite router has errors like this:

 we require peer to have ID 'xx.xx.xx.xx', but
peer declares '10.243.45.92'

where 'xx.xx.xx.xx' is the public IP of the Astaro.

I have tested also by creating 2 Astaro EC2 instances and they can't VPN to each other.

So then I also tried adding my own IP alias to the Internal NIC, and I can't! It complains saying that it's write-protected.

I assume these things will be fixed?


This thread was automatically locked due to age.
Parents
  • Thanks for posting back with your results.  Let's hope either d12fk or da_merlin sees this again.

    1. I think "IPsecOverNATt" is just what Astaro will do if NAT-T is enabled.  I don't think it relates to leftid/rightid.  I don't know enough about Cisco's IPsec to understand how it can accept the connection when the AMI responds with its IP (instead of the public one).

    2. I think Astaro uses StrongSwan instead of OpenSwan.  I'm not sure I understand the advantage to configuring on one side rather than the other, but that seems like a good option to have, so you might want to suggest it in the Features Forum

    Once again, it is not our choice at all, all of our partners independently came up with those same requirements. 

    Partners?  Requirements?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • Thanks for posting back with your results.  Let's hope either d12fk or da_merlin sees this again.

    1. I think "IPsecOverNATt" is just what Astaro will do if NAT-T is enabled.  I don't think it relates to leftid/rightid.  I don't know enough about Cisco's IPsec to understand how it can accept the connection when the AMI responds with its IP (instead of the public one).

    2. I think Astaro uses StrongSwan instead of OpenSwan.  I'm not sure I understand the advantage to configuring on one side rather than the other, but that seems like a good option to have, so you might want to suggest it in the Features Forum

    Once again, it is not our choice at all, all of our partners independently came up with those same requirements. 

    Partners?  Requirements?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children

  • 1. I think "IPsecOverNATt" is just what Astaro will do if NAT-T is enabled.  I don't think it relates to leftid/rightid.  I don't know enough about Cisco's IPsec to understand how it can accept the connection when the AMI responds with its IP (instead of the public one).


    If that were true it would be great, but I think that feature is not working, or it fails to work when the leftid of the remote's router is not configured to be its Public IP.


    2. I think Astaro uses StrongSwan instead of OpenSwan.  I'm not sure I understand the advantage to configuring on one side rather than the other, but that seems like a good option to have, so you might want to suggest it in the Features Forum


    Partners?  Requirements?

    Cheers - Bob


    Good to know about StrongSwan vs OpenSwan. Maybe I can find some info with that. About partners and reqs, I was referencing that we are using this to connect to multiple site-to-site IPSec VPN connections using PSK's and it is out of our control to change that. 100% of our partners independently decided to use that configuration so it's not sufficient to say something like "use SSL VPN" or "don't use PSK."