Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1495 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't get Safenet Client to connect to ASL using IPSec!!

Patrick in Toronto
Hello,
I am new to the ASL product. I am using the latest release (2.0) downloaded off the your www and spent 1 week looking at all the postings. I failed to find a match/solution to my problem.

I fail to connect a Safenet Soft-PK host to ASL using IPSec. I have matched the parameters on the both, ASL and Safenet Client:

internal net---[ASL]------Safenet Host

PSK
Phase 1: Main Mode, No PFS, Replay detect,3DES
MD-5, DH-Group 2
Phase 2: ESP, 3DES, MD-5

Packet Filter Rule:
Any UDP 500 Any allow
Any ESP Any Allow
Any Any Any Allow (I was desperate)

My Astaro Syslog debug shows proper routing but IPSec negotiations does not get past Phase I.

Can anyone offer insight?


This thread was automatically locked due to age.
  • 0
    OK. After changing some configurations, I was able to get past Phase I IKE negotiations. But now Phase II fails. I must be missing something simple!!!
    Help!
  • 0 in reply to Patrick in Toronto
    Hi Patrick,

    hmmm looks good so far - have you addressed a single host from the ASL side, or a network? I made that error once: set up a network 192.168.x.y, and didn't tell ASL about it...

    Same check other way around. What are you trying to reach?

    Greetings from Germany,
    Wolfgang Lonien
  • 0 in reply to wjl
    Dank Sie Wolfgang,

    My host with Soft-PK client connects to the internet with dial-up direct to ISP (no AOL stuff). On the other side of the tunnel is my ASL hiding the internal network. Here is what I tell Astaro.

    DEFINITION->Networks,
    Internal Net= 192.168.1.0 255.255.255.0
    Internal Host= 192.168.1.100 255.255.255.255
    External= 216.208.98.121
    (rest is default)

    VPN->IPSec Configuration,
    Name= Test
    Left Subnet= Internal Net
    Left IP= External
    Right IP= Any
    Right Subnet= -

    Therefore, the internet ppp host is trying to ping my Internal Host behind ASL (Internal Host successfully browses internet). Since I see negotiations, we can rule out communication, routing issues. The only problem seems to be at the OAKLEY Exchange Phase II. Just can't get the secret key exchanged! I know I am close and still missing something simple. Your thoughts? Has anyone successfully configured ASL with Safenet Soft-PK client?
  • 0 in reply to Patrick in Toronto
    Patrick,

    I had it running with Soft-PK and ASL 2.016, tho at the moment we are evaluating 3.040 (and waiting for the final 3.2).

    Your setup looks great - maybe you send us a few lines of your IPSEC logs (both from ASL and Soft-PK)?
  • 0 in reply to wjl
    Hi again Patrick,

    another tip: try the very good documentation of another Canadian under:

    http://jixen.tripod.com/

    If it's not available (tripod's fault), then try

    http://www.geocities.com/jixen66/

    instead.

    HTH,
    Wolfgang
  • 0 in reply to wjl
    Hi together,

    the first to check, if all parameters match and phase one is up, is the kernel log.
    PACKET FILTER/LIVELOG or "tail -f /var/log/kernel"
    If there are no entries belonging to your connection I would copy tcpdump to the firewall
    and would sniff incoming and outgoing packets.

    It is not a bad idea to check the logs auth and 
    daemon, which can be found in /var/log as well.

    regards
    ollion
Unfiltered HTML