CPUG: The Check Point User Group

Resources for the Check Point Community, by the Check Point Community.


Tim Hall has done it again! He has just released the 2nd edition of "Max Power".
Rather than get into details here, I urge you to check out this announcement post.
It's a massive upgrade, and well worth checking out. -E

 

Results 1 to 3 of 3

Thread: site-to-site VPN

  1. #1
    Join Date
    2009-02-10
    Location
    Witten, Germany
    Posts
    6
    Rep Power
    0

    Default site-to-site VPN

    Mal wieder ein site to site VPN Problem:
    Eckbedingungen:
    Hinter einer Watchguard x2500 OS 10.2.9 interessiert und das Netz: 192.168.16.0/24. Es gibt weitere Netze dort. Dementsprechend ist es auf der Checkpoint dieses Netz beim VPN Peer als manual definied VPN Domain eingetragen.
    Die Gegenseite soll von besagtem Netz alles was kommt zur Checkpoint routen. Da man offenbar ein any in der Watchguard an der Stelle nicht eintragen kann, wird auf der Gegenseite alles vom Netz 192.168.16.0/24 mit der destination 0.0.0.0/0 in den Tunnel geschickt.
    Fehler im CP log:

    Number: 1227
    Date: 13Jul2009
    Time: 12:54:08
    Product: VPN-1 Power/UTM
    VPN Feature: IKE
    Interface: daemon
    Origin: gwras
    Type: Log
    Action: Key Install
    Source: GKH_VPN_Peer (Peer_IP)
    Destination: gwras (our_IP)
    Encryption Scheme: IKE
    VPN Peer Gateway: GKH_VPN_Peer (Peer_IP)
    IKE Phase2 Message ID: 8b3cbd46
    Community: GKH
    Information: IKE: Quick Mode Received Notification from Peer: invalid id information
    Subproduct: VPN

    Das sieht irgendwie nach excryption Domain Problem aus, oder ?
    Der Admin der Watchguard meinte ich solle mal die Peer_IP mit in das encryption Netz packen, hat aber nix gebracht.
    Genutzte Protokolle:
    Phase1: AES-256 / SHA-1 / DH: Group2
    Phase2: AES-256 / SHA-1 / DH: Group2

    Was könnte das Problem sein?

    Danke

    Peter

  2. #2
    Join Date
    2007-04-10
    Location
    India
    Posts
    232
    Rep Power
    13

    Default Re: site-to-site VPN

    could you please use english so that all can understand and you can good resolution.

  3. #3
    Join Date
    2006-09-07
    Posts
    7
    Rep Power
    0

    Default Re: site-to-site VPN

    Hallo,

    "IKE: Quick Mode Received Notification from Peer: invalid id information", das meint dass die proxy ID nicht die selben sind.

    proxy ID sind am smartdashboard im "vpn domain" definiert.

    Dann in der vpn community (tunnel management) muss man wählen :

    one vpn tunnel per each pair of host.
    local proxy id = source IP/32
    remote proxy id = dest ip/32

    one tunnel per subnet pair :
    local proxy id = local subnet (wie im lokal vpn domain definiert)
    remote proxy id = remote subnet (wie im remote gateway vpn domain definiert).

    one vpn tunnel per gateway pair :
    local proxy id = 0.0.0.0/0
    remote proxy id = 0.0.0.0/0

    Ich weiss nicht wie die proxy IDs am watchguard definiert sind, aber kannst du bitte probieren mit 0.0.0.0/0 als vpn domain für das checkpoint gateway, und 192.168.16.0/24 als vpn domain für das watchguard.

    du muss auch "one tunnel per subnet pair" wählen.

Similar Threads

  1. Site to Site VPN not working together with Client to Site?
    By cglebbeek in forum IPsec VPN Blade (Virtual Private Networks)
    Replies: 3
    Last Post: 2009-12-21, 14:39
  2. VPN Topology missing - Can't enable Enterprise folder for site-to-site VPN
    By hotice_ in forum Check Point UTM-1 Edge Appliances
    Replies: 9
    Last Post: 2008-12-16, 16:25
  3. client and site to site vpn not working after introducing peplink device
    By naomi.rampersad@gmail.com in forum SecureClient/SecuRemote
    Replies: 3
    Last Post: 2008-04-02, 08:19
  4. Site-to-Site with externally managed dynamic IP VPN1 Edge
    By rubber_chicken in forum IPsec VPN Blade (Virtual Private Networks)
    Replies: 2
    Last Post: 2007-11-11, 16:09
  5. VPN Site-to-Site Fails when backp path cuts to SDSL
    By yelwoci in forum IPsec VPN Blade (Virtual Private Networks)
    Replies: 0
    Last Post: 2007-03-07, 11:07

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •