Avaya VPN 96xx and Sonicwall TZ210

[kolob4all]

What is bothering me that Avaya doesn't provide any help :-((((
They have techtip 190 for Sonicwall TZ170 that is discontinued.

Can somebody share working config for 9608 so I'll at least know that it's not a phone and will break my had with Sonicwall???

Here is my config for 96xx phones and phones are sitting it "Discover X.X.X.X" and I can see tunnel established on sonicwall

## VPN Settings for 96xx VPN Phones to work with Sonicwall Firewall
## VPN Mode=Enabled
SET NVVPNMODE 1
## Profile Password
SET NVVPNCODE 876
##VPN user name
SET NVVPNUSER 1234
## To Access VPN Procedure 2 View/Modify Mode
SET VPNPROC 2
## VPN Vendor Other
SET NVVPNSVENDOR 4
## Sonicwall Public IP
SET NVSGIP "X.X.X.X"
## Encapsulation = 4500-4500
SET NVVPNENCAPS 0
## Copy TOS=No
SET NVVPNCOPYTOS 2
## Auth Type PSK
SET NVVPNAUTHTYPE 3
## IKE ID Group Name
SET NVIKEID "GroupVPN"
## Preshared KEY PSK
SET NVIKEPSK "xxxx"

## PHASE 1 PARAMETERS

## IKE ID Type =FQDN
SET NVIKEIDTYPE 2
## IKE XCHG Mode=Aggressive
SET NVIKEXCHGMODE 1
## IKE DH Group=2
SET NVIKEDHGRP 2
## Phase 1 Encryption Algorithm =3DES
SET NVIKEP1ENCALG 2
## Phase 1 Auth Algorithm=SHA1
SET NVIKEP1AUTHALG 2
## IKE Config Mode=Disabled
SET NVIKECONFIGMODE 2


## PHASE 2 PARAMETERS

##IPSec PFS DH Group=2
SET NVPFSDHGRP 2
## Phase 2 Encryption Algorithm=3DES
SET NVIKEP2ENCALG 2
##Phase 2 Auth Algorithm=SHA1
SET NVIKEP2AUTHALG 2
##Protoected Network
SET NVIPSECSUBNET "192.168.90.0/24"
## IKE Over TCP= Never
SET NVIKEOVERTCP 0

## XAuth Diabled
SET NVXAUTH 2
## Avaya Call Server
SET NVMCIPADD "192.168.90.2

 

[telecomtekperson]

DO you have a route in your IPO for the virtual IP?

 

[kolob4all]

Yes, route is set up. But I think it's not a route. When I try to ping IP of VPN phone that is displayed on Sonicwall status page I can't ping it.

 

[kolob4all]

Another question. On old 56xx we had setting for virtual IP in Protected networks. Looks like on 96xx there is not such option. We just have to know LAN network for remote site to set route on IPO

 

[kolob4all]

Hope this will safe some time for some body.

Per Avaya, Sonicwall is not recommended and supported by 96xx phones.

Per Sonicwall, Avaya phones is not supported set up.

I got 9608 VPN connected to Sonicwal pith PSK and PSK with XAuth but had no luck passing traffic to IPO.

One more remark, Sonicwall support it sucks!!!

 

[coolbrad]

I am trying to do the same thing but can not get pass phase 2. I tried your config and still no luck. I have other 5610 using the GroupVPN on the sonicwall. Do you have an updated config?

 

[kolob4all]

This one is missing Username and Password for XAUTH. But you can put it manually.

################################################## #
## VPN Mode
## 0: Disabled, 1: Enabled.
################################################## #

SET NVVPNMODE 1


################################################## #
## VPN Firewall Public IP
##
################################################## #

SET NVSGIP "X.X.X.X"

################################################## #
## Vendor.
## 1: Juniper/Netscreen, 2. Cisco
## 3: CheckPoint/ Nokia 4: Other
## 5: Nortel.
################################################## #

SET NVVPNSVENDOR 2

################################################## #
## Encapsulation Type.
## 0: 4500-4500, 1: Disabled
## 2: 2070-500, 3: ?
## 4: RFC (500-500)
################################################## #

SET NVVPNENCAPS 0

################################################## #
## Copy TOS.
## 1: Yes, 2: No
################################################## #

SET NVVPNCOPYTOS 2

################################################## #
## Authentication Type.
##
## [For Cisco/Juniper/Checkpoint/Other]
## 3: PSK, 4: PSK with Xauth
## 5: RSA signatures with Xauth, 6: Hybrid Xauth
## 7: RSA signatures.
##
## [Nortel Authentication Type]
## 1: Local credentials, 2: Radius Credentials.
## 3: Radius SecureID, 4: Radius Axent.
################################################## #

SET NVVPNAUTHTYPE 4

################################################## #
## VPN User Type.
## 1: Any, 2: User
################################################## #

SET NVVPNUSERTYPE 1

################################################## #
## Password Type.
## 1: Save in Flash, 2: Erase on reset
## 3: Numeric OTP, 4: Alpha-Numeric OTP
## 5: Erase on VPN termination.
################################################## #

SET NVVPNPSWDTYPE 1

################################################## #
## IKE ID (Group Name).
################################################## #

SET NVIKEID "GroupVPN"


################################################## #
## Preshared KEY PSK
################################################## #

SET NVIKEPSK "XXXXXX"


## PHASE 1 PARAMETERS

################################################## #
## IKE ID Type.
## 1: IPv4_ADDR, 2: FQDN
## 3: USER_FQDN, 9: DER_ASN1_DN
## 11: Key ID
################################################## #

SET NVIKEIDTYPE 2

################################################## #
## IKE Xchg Mode.
## 1: Aggressive, 2: Identity Protect.
################################################## #

SET NVIKEXCHGMODE 1

################################################## #
## IKE DH Group.
################################################## #

SET NVIKEDHGRP 2

################################################## #
## IKE Encryption Algo.
## 1: AES-128, 2: 3DES
## 3: DEs 4: AEs-192
## 5: AES-256 0: Any
################################################## #

SET NVIKEP1ENCALG 2

################################################## #
## IKE Auth algo.
## 0: Any, 1: MD5
## 2: sHA-1
################################################## #

SET NVIKEP1AUTHALG 2


################################################## #
## IKE Config Mode
## 1: Use the ISAKMP configuration method for setting certain applicable values
## 2: This setting is turned off (disabled) because a generic PSK profile is in effect
################################################## #

SET NVIKECONFIGMODE 2

## PHASE 2 PARAMETERS

################################################## #
## IPsec PFS DH group.
################################################## #

SET NVPFSDHGRP 2

################################################## #
## IPsec Encryption Algo.
## 1: AES-128, 2: 3DES
## 3: DEs 4: AEs-192
## 5: AES-256 6: None
## 0: Any
################################################## #

SET NVIKEP2ENCALG 2

################################################## #
## IPsec Authentication Algo.
## 0: Any, 1: MD5
## 2: sHA-1
################################################## #

SET NVIKEP2AUTHALG 2

################################################## #
## Protected Network.
################################################## #

SET NVIPSECSUBNET 192.168.20.0/24

################################################## #
## IKE Over TCP.
## 0: Never, 1: Auto
## 2: Always
################################################## #

SET NVIKEOVERTCP 0

################################################## #
## Craft access
## 0: Enabled, 1: only view option is available?
################################################## #

SET PROCSTAT 0

################################################## #
## VPN craft access
## 0: disabled, 1: view only
## 2: View and edit.
################################################## #

SET VPNPROC 2

################################################## #
## Call Server address
################################################## #

SET MCIPADD 192.168.X.X

################################################## #
## craft access code
################################################## #

SET PROCPSWD 27238

# END

 

[tlpeter]

You will need a router that has mode config.
This will give the phone a virtual ip from the router.
This way it should work fine.


BAZINGA!

I'm not insane, my mother had me tested!