Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 11 replies
  • Subscribers 0 subscribers
  • Views 2838 views
  • Users 0 members are here
Options
Suggested

Remote Access IPSEC - Remote Access IP

Johannes Hiby
Hi,

in the downloadable Configuration for IPSEC Remote Access over the User Portal
there is not the "static remote access IP" configured in the User settings.
But this IP is nessesary for NAT - NAT Connection. -> IPSEC Connetions will fail.
I must insert  the IP manually then it will work.

-Johannes
Parents
  • 0
    What kind of authentication mechanism are you using for the remote access connection in question?
  • 0 in reply to d12fk
    Hi,

    Authentication type X509 certificate. In the downloadable Configuration 
    for IPSEC Remote Access the Parameter IpAddrAssign is 0:
    ...
    XAUTH-Id=
    IpAddrAssign=0
    DNS1=0.0.0.0
    DNS2=0.0.0.0
    ....

    this does not work with a NAT-NAT connection.

    if i change it in
    ...
    XAUTH-Id=
    IpAddrAssign=2
    IpAddress=192.168.76.1      
  • 0 in reply to Johannes Hiby
    IpAddrAssign=0 is actually the correct setting if the user has a static IP address assigned. Could you check the ipsec log when the client is connecting and see if a modecfg exchange is done after the ISAKMP SA is established?
  • 0 in reply to d12fk
    I'll be interested to learn the result of d12fk's analysis, but I'm confused.  We normally set the remote client to request the IP from the Astaro when it connects, so the only place I need to record the assigned IP is in the User definition in the Astaro.  What am I not understanding?

    Cheers - Bob
  • 0 in reply to BAlfson
    What am I not understanding?


    Nothing really, that's exactly what I'd expect to happen in the setup from above. "IpAddrAssign=0" stands for "assign IP address using modecfg". Don't blame me for that one! =)

    Something does not seem to work here, though. The first thing to check is if the IP address assignment is actually talking place. Hence, my request for modecfg traces from the log.

    Hope that cleared it up a bit.
  • 0 in reply to d12fk
    with IpAddrAssign=0

    form the ipsec log:
    ...
    2009:01:27-17:14:30 (none) pluto[15057]: "TEST_0"[1] X:X:X:X:4500 #31: sent MR3, ISAKMP SA established 
    2009:01:27-17:14:30 (none) pluto[15057]: "TEST_0"[1] X:X:X:X:4500 #31: cannot respond to IPsec SA request because no connection is known for 192.168.4.0/24===Y:Y:Y:Y:4500[@gate.name.tld]...X:X:X:X:4500[jhiby@domain.tld]===10.2.120.1/32 
    2009:01:27-17:14:30 (none) pluto[15057]: "TEST_0"[1] X:X:X:X:4500 #31: sending encrypted notification INVALID_ID_INFORMATION to X:X:X:X:4500 
    2009:01:27-17:14:39 (none) pluto[15057]: "TEST_0"[1] X:X:X:X:4500 #31: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xc4d4c199 (perhaps this is a duplicated packet) 
    2009:01:27-17:14:39 (none) pluto[15057]: "TEST_0"[1] X:X:X:X:4500 #31: sending encrypted notification INVALID_MESSAGE_ID to X:X:X:X:4500 
    ...


    --Johannes
  • 0 in reply to Johannes Hiby

    2009:01:27-17:14:30 (none) pluto[15057]: "TEST_0"[1] X:X:X:X:4500 #31: sent MR3, ISAKMP SA established 
    2009:01:27-17:14:30 (none) pluto[15057]: "TEST_0"[1] X:X:X:X:4500 #31: cannot respond to IPsec SA request because no connection is known for 192.168.4.0/24===Y:Y:Y:Y:4500[@gate.name.tld]...X:X:X:X:4500[jhiby@domain.tld]===10.2.120.1/32


    The modecfg exchange does not take place. It should follow right after the ISAKMP SA is established. It seems that ASC is not requesting a modecfg exchange. Pluto would complain if it received a modecfg request without being configured to handle it. Could you:

    1) post the section of the connection in question from the file /var/sec/chroot-ipsec/etc/ipsec.conf. Just to make sure pluto is configured correctly.

    2) check the connection profile settings in ASC. In the "IP address assignment" dialog, "IP config mode" should be selected after import of the .ini file.

    3) restart ASC and try again. This helped in the past when the settings were right but it didn't work anyways.

    Thanks.
Reply
  • 0 in reply to Johannes Hiby

    2009:01:27-17:14:30 (none) pluto[15057]: "TEST_0"[1] X:X:X:X:4500 #31: sent MR3, ISAKMP SA established 
    2009:01:27-17:14:30 (none) pluto[15057]: "TEST_0"[1] X:X:X:X:4500 #31: cannot respond to IPsec SA request because no connection is known for 192.168.4.0/24===Y:Y:Y:Y:4500[@gate.name.tld]...X:X:X:X:4500[jhiby@domain.tld]===10.2.120.1/32


    The modecfg exchange does not take place. It should follow right after the ISAKMP SA is established. It seems that ASC is not requesting a modecfg exchange. Pluto would complain if it received a modecfg request without being configured to handle it. Could you:

    1) post the section of the connection in question from the file /var/sec/chroot-ipsec/etc/ipsec.conf. Just to make sure pluto is configured correctly.

    2) check the connection profile settings in ASC. In the "IP address assignment" dialog, "IP config mode" should be selected after import of the .ini file.

    3) restart ASC and try again. This helped in the past when the settings were right but it didn't work anyways.

    Thanks.
Children
No Data