<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
<html><body style='font-family: Arial,Helvetica,sans-serif'>
<p>You could try %any in the secrets file and perhaps remove the right id.</p>
<p>On 2013-08-07 16:54, Giovanni Carbone wrote:</p>
<blockquote type="cite" style="padding-left:5px; border-left:#1010ff 2px solid; margin-left:5px"><!-- html ignored --><!-- head ignored --><!-- meta ignored -->
<pre>If I do that I get this error " Can't authenticate: no preshared key found for &lsquo;A.A.A.A.&rsquo; and &lsquo;192.168.1.1&rsquo; ".
Besides that I'd still have the ASA's private IP declared statically in the connection.

Best regards,

Giovanni.



From: <a href="mailto:users-bounces@lists.openswan.org">users-bounces@lists.openswan.org</a> [mailto:<a href="mailto:users-bounces@lists.openswan.org">users-bounces@lists.openswan.org</a>] On Behalf Of Nick Howitt
Sent: Wednesday, August 7, 2013 4:57 PM
To: <a href="mailto:users@lists.openswan.org">users@lists.openswan.org</a>
Subject: Re: [Openswan Users] NAT-T and rightid

Change the secrets file back to B.B.B.B.

On 2013-08-07 09:03, Giovanni Carbone wrote:
Hello,

Thanks for your reply, I tried to change the configuration like you suggested but it doesn't work, I got a "address family inconsistency in this/that connection" error.
So I'm going to give you more details on this configuration (I guess I should have did it since the beginning :) ).

This is my initial configuration (it's a lan-2-lan vpn with multiple subnets on both sides):

ciscoasa.conf file:

conn CISCOASA
        left=A.A.A.A
        right=B.B.B.B
        leftsubnets={subnet_a/mask subnet_b/mask}
        rightsubnets={subnet_c/mask subnet_d/mask}
        ...other stuff...

ciscoasa.secrets file:

A.A.A.A B.B.B.B : PSK "sharedsecret"

With this configuration it doesn't work, the negotiation just fails with this error:

003 "CISCOASA" #199593: we require peer to have ID 'B.B.B.B', but peer declares '192.168.1.1'

Of course 192.168.1.1 is the ASA's the private IP (which is behind a natting firewall).
So, in order to make it work, I changed the configuration by adding the rightid parameter like this:

conn CISCOASA
        left=A.A.A.A
        right=B.B.B.B
        rightid=192.168.1.1
        leftsubnets={subnet_a/mask subnet_b/mask}
        rightsubnets={subnet_c/mask subnet_d/mask}
        ...other stuff...

secrets file:

A.A.A.A 192.168.1.1 : PSK "sharedsecret"


Best regards,

Giovanni.



From: Leto [mailto:<a href="mailto:letoams@gmail.com">letoams@gmail.com</a>] 
Sent: Monday, August 5, 2013 8:25 PM
To: Giovanni Carbone
Cc: <a href="mailto:users@openswan.org">users@openswan.org</a>
Subject: Re: [Openswan Users] NAT-T and rightid

you probably want something like rightsubnet=vhost:%priv

sent from a tiny device&nbsp;

On 2013-08-05, at 15:10, Giovanni Carbone &lt;<a href="mailto:G.Carbone@reitek.com">G.Carbone@reitek.com</a>&gt; wrote:
Hi,
&nbsp;
i&rsquo;m having a little issue with a tunnel (PSK auth) with a Cisco ASA behind a nat. The tunnels goes up and everything works only if I set the rightid with the private IP of the ASA (I think it&rsquo;s the way it is supposed to work).
&nbsp;
The problem is the other end doesn&rsquo;t want me to have one of their private IPs configured statically on my side; they may change it &ldquo;anytime&rdquo; and they don&rsquo;t want to have to notify me of this change in order to keep up the tunnel (they say that they have many other tunnels working without having to deal with the ASA&rsquo;s private IP on the other end).
&nbsp;
So, is there a way to tell Openswan to work only with the ASA&rsquo;s public IP?
&nbsp;
Best regards,
&nbsp;
Giovanni.
&nbsp;



Informativa Privacy - Ai sensi del D. Lgs n. 196/2003 (Codice Privacy) precisiamo che le informazioni contenute in questo messaggio sono riservate e a uso esclusivo del destinatario. Ogni uso, copia o distribuzione non autorizzata &egrave; proibita e passibile di sanzioni ai termini di legge. Reitek non &egrave; responsabile di eventuali copie o distribuzioni non autorizzate. Se questo messaggio &egrave; stato ricevuto per errore, preghiamo gentilmente di eliminarlo e di informare il mittente. Grazie. 
_______________________________________________
<a href="mailto:Users@lists.openswan.org">Users@lists.openswan.org</a>
<a href="https://lists.openswan.org/mailman/listinfo/users">https://lists.openswan.org/mailman/listinfo/users</a>
Micropayments: <a href="https://flattr.com/thing/38387/IPsec-for-Linux-made-easy">https://flattr.com/thing/38387/IPsec-for-Linux-made-easy</a>
Building and Integrating Virtual Private Networks with Openswan:
<a href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a>
_______________________________________________
<a href="mailto:Users@lists.openswan.org">Users@lists.openswan.org</a>
<a href="https://lists.openswan.org/mailman/listinfo/users">https://lists.openswan.org/mailman/listinfo/users</a>
Micropayments: <a href="https://flattr.com/thing/38387/IPsec-for-Linux-made-easy">https://flattr.com/thing/38387/IPsec-for-Linux-made-easy</a>
Building and Integrating Virtual Private Networks with Openswan:
<a href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a>
</pre>
</blockquote>
</body></html>