Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 2594 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problems with IPSEC! V 4

mpeter
Hello,

i update from 3.17 to 4.0. After the update i have the problem that my vpn connections to my customer with checkpoint an cisco pix don´t work. Connections to linux with freeswan works without problem. In the log i see this message: ignoring informational payload, type NO_PROPOSAL_CHOSEN

anyone an idea ?
It´s very important for me...

Michael  


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to mpeter
    Hello!

    I have find the problem!!! I have add a connection to ipsec.conf-default:

    conn customer_1
            type="tunnel"
            keyexchange="ike"
            keylife="3600"
            ikelifetime="28800"
            esp="3des-md5"
            ike="3des-md5"
            pfs="no"
            left="xxx.xxx.xxx.xxx"
            right="xxx.xxx.xxx.xxx"
            leftupdown="/opt/_updown 2>/tmp/log 1>/tmp/log"
            rightupdown="/opt/_updown 2>/tmp/log 1>/tmp/log"
            auto="start"
            leftsubnet="192.168.xxx.xxx/255.255.255.0"
            rightsubnet="172.16.xxx.xxx/255.255.255.0"
            leftid="xxx.xxx.xxx.xx"
            rightid="xxx.xxx.xxx.xxx"
            authby="secret"

    Astaro set in there configuration ike="3des-md5-modp1024".
    Without "-modp1024" all my connections to cisco, checkpoint and freewan works!!!!

    Michael
      
  • 0 in reply to mpeter
    so try editing your ipsec-policies ... some new algo's have been added...

    please try changing dh-group / auth algo...

    /marcel 
  • 0 in reply to Marcel_01
    Which DH Group must i select ?

    if i select dh group 1 the middleware set in ipsec.conf 3des-md5-modp768
    if i select dh group 2 the middleware set in ipsec.conf 3des-md5-modp1024 and so ...

    michael

      
  • 0 in reply to mpeter
    you should select the same as on your remote endpoint !? 
  • 0 in reply to Marcel_01
    When will this be fixed ? 
  • 0 in reply to ECKEROTH
    we'll take out the pfsgroup when no pfs is selected.. this should be fixed in an up2date... (can't tell you _when_ exactly, sorry)

    /marcel 
  • 0 in reply to Marcel_01
    [ QUOTE ]
    we'll take out the pfsgroup when no pfs is selected.. this should be fixed in an up2date... (can't tell you _when_ exactly, sorry)

    /marcel  

    [/ QUOTE ]

    Would be nice if you could... :-)

    I've found that once I got my VPN settings the way I wanted them, I can backup ipsec.conf-default, and then copy the working ipsec.conf to ipsec.conf-default. This seems to be the best of both worlds for me since I cannot seem to get the "manual" entries inside ipsec.conf-default to work w/o enabling at least one tunnel within the ASL middleware interface (I'm only running one tunnel). This is because the main ipsec.conf config section doesn't get fully defined unless you have at least one tunnel enabled. 

    Therefore, for users with only one tunnel, this may work for you. You can keep the single tunnel "on" in the middleware (so routes, interfaces, etc. work), but use your config in the end.

    **WARNING** backup the original ipsec.conf-default file first!

    Waiting patiently for an Astaro fix on this, however :-)  
  • 0 in reply to Marcel_01
    Could you please fix this thing as soon as possible. I am running into troubles with our clients because systems are down. All VPN tunnels are down because flaw in configurations. It can't be big bug to fix.  
Cookie Information Banner