Issues with IPSec site-to-site to ASG behind/ in front of NAT

In the error message, the public and private IP are for the same Astaro device, public IP is the EIP for Astaro, and private IP is the non-routable IP address assigned to Astaro inside the VPC.

The VPN ID field on both sides is using the PRIVATE IP assigned to the devices inside VPC's non-routable network.

Btw, the VPN ID field on both sides is using the PRIVATE IP assigned to the devices inside VPC's non-routable network.

Sounds like something is not configured right. I'm not sure if I'm helpful in this message here, but at least realize that there is a problem with your configuration.

"Can't authenticate: no preshared key found for 'PUBLIC_IP' and 'PRIVATE_IP'. Attribute OAKLEY_AUTHENTICATION_METHOD "

What this means, is that in the ipsec.secrets file, there is no combination of 'PUBLIC_IP' and 'PRIVATE_IP'  I'm assuming there actually are some IP values in that message. Those IP values are supposed to be essentially "YOU" and "THEM".

It should be where LEFT is YOU and RIGHT is THEM, THEM being the remote peer.

ipsec.secrets should look like:
YOUR-PRIVATE-IP THEIR-PEER-IP : PSK ***x

And so you'd make the ipsec.secrets-default file look like this:
YOUR-PUBLIC-IP THEIR-PEER-IP : PSK ***x
[]

The ipsec.secrets file is controlled by Astaro UI so your PRIVATE-IP will always end up there until Astaro lets us change it (vote on the features referenced here: Upgrade to modern version of StrongSWAN which uses charon instead of pluto  VPN: Local VPN ID choices when using Pre-Shared-Key  Expand ipsec.conf control to webadmin)
So you have to add essentially the same line into the beginning of the ipsec.secrets-default file, but type in YOUR-PUBLIC-IP on the left side instead.


And then the ipsec.conf-default change..

In the UI, your LEFT is what you set up in the Connection tab, your RIGHT (or THEM) is the Gateway tab. In their Gateway tab, you can edit the VPN ID to put in THEIR-PRIVATE-IP if they indeed are behind a NAT and their router is advertising the private IP. But as mentioned, chances are slim on this unless they too are using an Astaro router because of this same limitation from the other side.

Hi, voodoo, and welcome to the User BB!

Unless you are a guru like coewar, you're better off not configuring from the command line.  If you don't make changes via WebAdmin or cc, they will likely be erased by a future update (this isn't always true, but it is often enough).

If you're interested in driving a Model-T, then continue at the command line.  If you'd rather drive a new Jaguar XK, then WebAdmin is what you want. [;)]

Seriously, if you want some help with this, please post pictures of the 'IPsec Connection' and the 'Default Gateway' defintions.

Cheers - Bob

Actually he sent me a private message and when I saw what he was doing I recommended he undo any file editing changes because he did not need it for what he was doing.

He is just hooking up 2 Amazon VPC's together which you can easily do, but due to the Astaro limitation, you just have to put in the remote routers' private IP in the VPNID field.

Hi BAlfson and Coewar, 

Problem is now solved and VPN running. Coewar sent me instructions, I had the correct GUI setup, I had to remove the manually added lines in ipsec.conf-default and ipsec.secrets-default. Many thanks.

so I know this is an ancient thread... but the problem remains so... I wanted to ask, has anyone verified recently that this approach still works? After changing the ipsec.secrets-default file, I found that ALL my VPNS dropped (oops!!!) apparently because strongswan couldn't find matching secrets that corresponded to the new public IP I entered for leftid. I had to go and ALSO modify the left ip for every entry in ipsec.secrets and now it seems happy.... though even for the test site that I explictly wanted to change to the public IP, the SA details in the GUI still report the private IP.... so I'm not sure if anything has changed.

I certainly hope this works though... so if anyone has done this recently, I'd love to hear about it.
thanks