Issues with IPSec site-to-site to ASG behind/ in front of NAT

Sounds like something is not configured right. I'm not sure if I'm helpful in this message here, but at least realize that there is a problem with your configuration.

"Can't authenticate: no preshared key found for 'PUBLIC_IP' and 'PRIVATE_IP'. Attribute OAKLEY_AUTHENTICATION_METHOD "

What this means, is that in the ipsec.secrets file, there is no combination of 'PUBLIC_IP' and 'PRIVATE_IP'  I'm assuming there actually are some IP values in that message. Those IP values are supposed to be essentially "YOU" and "THEM".

It should be where LEFT is YOU and RIGHT is THEM, THEM being the remote peer.

ipsec.secrets should look like:
YOUR-PRIVATE-IP THEIR-PEER-IP : PSK ***x

And so you'd make the ipsec.secrets-default file look like this:
YOUR-PUBLIC-IP THEIR-PEER-IP : PSK ***x
[]

The ipsec.secrets file is controlled by Astaro UI so your PRIVATE-IP will always end up there until Astaro lets us change it (vote on the features referenced here: Upgrade to modern version of StrongSWAN which uses charon instead of pluto  VPN: Local VPN ID choices when using Pre-Shared-Key  Expand ipsec.conf control to webadmin)
So you have to add essentially the same line into the beginning of the ipsec.secrets-default file, but type in YOUR-PUBLIC-IP on the left side instead.


And then the ipsec.conf-default change..

In the UI, your LEFT is what you set up in the Connection tab, your RIGHT (or THEM) is the Gateway tab. In their Gateway tab, you can edit the VPN ID to put in THEIR-PRIVATE-IP if they indeed are behind a NAT and their router is advertising the private IP. But as mentioned, chances are slim on this unless they too are using an Astaro router because of this same limitation from the other side.

Sounds like something is not configured right. I'm not sure if I'm helpful in this message here, but at least realize that there is a problem with your configuration.

"Can't authenticate: no preshared key found for 'PUBLIC_IP' and 'PRIVATE_IP'. Attribute OAKLEY_AUTHENTICATION_METHOD "

What this means, is that in the ipsec.secrets file, there is no combination of 'PUBLIC_IP' and 'PRIVATE_IP'  I'm assuming there actually are some IP values in that message. Those IP values are supposed to be essentially "YOU" and "THEM".

It should be where LEFT is YOU and RIGHT is THEM, THEM being the remote peer.

ipsec.secrets should look like:
YOUR-PRIVATE-IP THEIR-PEER-IP : PSK ***x

And so you'd make the ipsec.secrets-default file look like this:
YOUR-PUBLIC-IP THEIR-PEER-IP : PSK ***x
[]

The ipsec.secrets file is controlled by Astaro UI so your PRIVATE-IP will always end up there until Astaro lets us change it (vote on the features referenced here: Upgrade to modern version of StrongSWAN which uses charon instead of pluto  VPN: Local VPN ID choices when using Pre-Shared-Key  Expand ipsec.conf control to webadmin)
So you have to add essentially the same line into the beginning of the ipsec.secrets-default file, but type in YOUR-PUBLIC-IP on the left side instead.


And then the ipsec.conf-default change..

In the UI, your LEFT is what you set up in the Connection tab, your RIGHT (or THEM) is the Gateway tab. In their Gateway tab, you can edit the VPN ID to put in THEIR-PRIVATE-IP if they indeed are behind a NAT and their router is advertising the private IP. But as mentioned, chances are slim on this unless they too are using an Astaro router because of this same limitation from the other side.