Issues with IPSec site-to-site to ASG behind/ in front of NAT

There is a problem with the AMI. When creating an IPsec site-to-site VPN connection, it's assuming to use the Internal NIC's private IP which is wrong. And hence the opposite router has errors like this:

 we require peer to have ID 'xx.xx.xx.xx', but
peer declares '10.243.45.92'

where 'xx.xx.xx.xx' is the public IP of the Astaro.

I have tested also by creating 2 Astaro EC2 instances and they can't VPN to each other.

So then I also tried adding my own IP alias to the Internal NIC, and I can't! It complains saying that it's write-protected.

I assume these things will be fixed?

Oh you know what? While the AMI does prevent me from adding alternate IP's which is bad, this issue may be unrelated to the AMI. It seems the Astaro is not able to use the correct IP when making a site-to-site VPN if the External WAN NIC is behind a routed network.

And creating an alternate IP doesn't help because the GUI only lets you select the NIC and does not allow you to select which IP on that NIC to use for the VPN. Hence, it's just not gonna work.

Hi, coewar, and welcome to the User BB!

(I moved these two posts to their own thread because this is an issue separate from the "8.300 soft released" thread.)

In fact, you can specify an alternate IP for a Remote Gateway as long as the Authentication type is not "Local X509 Certificate" and you choose VPN ID type "IP Address." Have you tried that?

Cheers - Bob

Sorry for any short responses!  Posted from my iPhone.

Thanks for the move.

I didn't try that and funny is that the Astaro help says to just ignore that option. [:)]  But after trying that it seems to not even care I put anything in it.
After setting it (the same way on both Astaro routers) the high level site-to-site summary screen still shows me the below:

Astaro AWS #1 VPN [0 of 1 IPSec SAs established]

SA: 10.243.45.92/32=10.243.45.92 xx.xx.xx.xx=10.80.211.54/32
VPN ID: 10.243.45.92
Error: No connection


What I'm expecting is it to show me this:

Astaro AWS #1 VPN [0 of 1 IPSec SAs established]

SA: yy.yy.yy.yy/32=10.243.45.92 xx.xx.xx.xx=10.80.211.54/32
VPN ID: 10.243.45.92
Error: No connection

where yy.yy.yy.yy is the public IP of router #1 and xx.xx.xx.xx is public IP of router #2.

Or at least, with this VPN ID change, I'd expect to see:


Astaro AWS #1 VPN [0 of 1 IPSec SAs established]

SA: 10.243.45.92/32=10.243.45.92 xx.xx.xx.xx=10.80.211.54/32
VPN ID: yy.yy.yy.yy
Error: No connection

After reading some more about the VPNID it seems only for certificate related things. We're just using PSK.

Correction to what I was saying. In linux using OpenSWAN the LEFTIP configuration is actually the private IP of the linux router (on Amazon), so I actually don't configure the router's public IP anywhere in the router.

Yet in the Astaro device it doesn't work.  And I have NAT-T enabled on everything.

Hi coewar,

Enable NAT-T on both nodes and

on the Amazon side, keep VPNID empty.

on your remote side:
 * configure right with the PUBLIC ip address of your Amazon instance
 * configure rightid with the PRIVATE ip address of your Amazon instance

Alternatively you can also have the remote side as respond only tunnel
with right=%any

Note: Amazon only forwards ICMP, UDP and TCP to instances on the EC2 space.
If you run instances on the VPC space, you can also have all other protocols.

Cheers
 Ulrich

Yes, that's exactly how to do it in plain Linux. But how do you do that in the Astaro web GUI? From what I can tell, you can not. You can not define the right and rightid separately.

I CAN'T BELIEVE IT!

I just managed to do it!

I was sure I tried this before. I set the remote Gateway's VPNID to be the private IP that AWS gave them. Now it worked. I must have not entered something correctly before??

But here is funny thing. I've asked support and they so far came back to me that you can not do this. [:)]

So just to clarify, I connected 2 Amazon Astaro instances together using site-to-site IPSec VPN using PSK.

So now the only thing that I wish I could do, is create Alternative IP addresses in the AMI Astaro and use them for specific VPN's. Apparently you can't do this at all in this image due to some write-protection error.

SO WHAT ABOUT THIS QUESTION!!??

Why when I configured the same VPN in a Cisco router, did the Cisco router automatically figure out the IP address and just work? Why the heck does Linux pluto system require me to put in the private IP of the final VPN router?