Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 2439 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec VPN Roadwarrior + PSK/X509

James Bourne
I'm going mad ...

ASL v3.214 + SSH Sentinal v1.4

I can do PPTP Roadwarrior, IPSec Standard Net-2-Net but no matter what I do I cannot get IPSec VPN Roadwarrior access going with either PSK or X509.

I have read the PDFs on docs.astaro.org until I am blue in the face. I am convinced I am either a complete cretin or they just don't work.

Does anybody have a complete idiots guide to setting up IPSec VPN Roadwarrior access with the latest SSH Sentinal Client.

I would be eternally grateful ...   [:O]  

Thanks,

James


This thread was automatically locked due to age.
Parents
  • 0
    Same here. Spent hours already reading and trying. Follow the X509_Host_to_Net_Dynamic.PDF step by step. No luck. In Sentinel Diagnostics, all goes well including "Found responder's public key". Then, in 'Details' it says:

    "Cannot run the diagnostics. The remote end cannot find suitable IKE proposal (phase-1) parameters, Make sure that the remote end allows you to establish an IPSEC connection to it and verify the proposal parameters. Also, verify the authentication method: Does the remote end accept a pre-shared key for authentication and do you submit the correct pre-shared key?"

    Any suggestions?
  • 0 in reply to Palantir
    Hi,

    I think you are probably be behind a NAT Router.
    If you are then IPSec Dynamic Host to Net X509 will not work. I had the same problems both under Windows and Mac through a dial-up connection.

    Try using Road-Warrior.
  • 0 in reply to nikra
    Palantir, your error message indicates wrong settings on the SSH Sentinel for the IKE PHase 1, make sure SSH Sentinel uses 3DES for IKE (default is AES on SSH Sentinel) since the Astaro only supports 3DES for IKE. Also a typical problem is the lifetime, SSH Sentinel is doing the calculation in minutes, ASL in seconds, make sure the lifetime matches.
  • 0 in reply to Andy_01
    Andy, thanks for your input. Unfortunately, this is not the case. I checked the lifetime parameters and the Sentinel IKE lifetime was indeed set to 240 minutes. Changed that to 130 minutes (7800 sec as set in Astaro) but the same error still appeared.

    I then completely re-installed Sentinel client, reloaded the certificate and reconfigured the VPN connection. Ran diagnostics... same error. :-(

    I now have the feeling that it is in my Astaro configuration. There are two lines in my VPN log that seem strange to me:

    Pluto[11711]: "RoadWarrior_1" 195.241.239.63 
    #130: multiple ipsec.secrets entries with distinct secrets match endpoints: first secret used
    (which is strange, since there is only one certificate for the client in my Astaro)

    and:

    Pluto[11711]: "RoadWarrior_1" 195.241.239.63 #130: Informational Exchange message for an established ISAKMP SA must be encrypted

    Any suggestions?

    Thanks,

    Palantir
  • 0 in reply to Palantir
    I have now also tried to configure RoadWarrior access to another ASL (also running 3.214) with the Sentinel SSH 1.4 client. Exactly the same error appears as described before.

    I have had a Sentinel 1.4 client running a few months ago but cannot think of anything that I configured differently now. I'm thinking of downgrading my ASL back to 3.202 and see what happens then  [:(] 3.214?

    Thanks for any input!

    Ronald
  • 0 in reply to Palantir
    Hi there guys, 

    could you please describe your setup more detailed.

    thanks polluxxx
  • 0 in reply to Polluxxx
    Palantir,

    I can ensure you I have SSH Sentinel 1.4 and ASL 3.214 successfully running with X.509 certificates. I don't think you should downgrade to 3.202, seems like waste of time.
Reply Children
  • 0 in reply to Andy_01
    I am behind NAT, but I use IPSec (Nortel Contivity client, I think) for accessing my corporate network OK. It is necessary to have only one box on the LAN to use IPSec and forward all incoming AH traffic(prot=51), all ESP traffic (prot=50), all GRE traffic (prot=47), and all IKE traffic (port 500 UDP) to it (my ADSL router does this). I believe that this should allow IPSec access to ASL too.

    In my case, the key/certificate exchange works fine (so does PSK), but fails trying to negotiate the IPSec protocol.
    Have checked settings at both ends multiple times to no avail.

    One thing I am not clear on is exactly how to specify the IP addresses at for each end of the VPN tunnel, and the documentation is sparse in this area. Does the tunnel (which terminates on the Internet side of the firewall, I believe) need to be explicitly routed to a sub-net on the internal interface?? This is probably not related to the problem in the last paragraph, but likely to be the next problem I hit...

    Thanks,
    Russell.
  • 0 in reply to russell
    I also have the same problem that we cant get in with our sentinel client...we have found out one thing thoug.....if u have made more than 6 sertificates and they are trying to connect trough the astaro....astaro drops one of the sertificates...so when i make a new sertificate nr 7, one of my other sertificates becames unvalid...and u have to go in and chech witch one....i have posted an email to support on this problem....just a tought!!  [:)]
Cookie Information Banner