Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1539 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

GPRS (SSH Sentinel) and VPN problem

de_MarK
Hi,
I am going to establish a connection between a roadwarrior (mobile, GPRS, SSH Sentinel 1.4) and the ASL. Everything works fine with a standard dial-up modem connection, also diagnostic in the SSH Sentinel when using GPRS mobile-to-net, but a real connecton is impossible. NAT-T is activated, IP compression disabled. What's wrong ?

Mar 13 15:54:07 (none) pluto[2140]: packet from 212.2.100.250:873: ignoring Vendor ID payload [SSH Sentinel 1.4]
Mar 13 15:54:07 (none) pluto[2140]: packet from 212.2.100.250:873: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-01]
Mar 13 15:54:07 (none) pluto[2140]: packet from 212.2.100.250:873: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-02]
Mar 13 15:54:07 (none) pluto[2140]: packet from 212.2.100.250:873: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
Mar 13 15:54:07 (none) pluto[2140]: "xxx_1"[8] 212.2.100.250:873 #24: responding to Main Mode from unknown peer 212.2.100.250:873
Mar 13 15:54:07 (none) pluto[2140]: "xxx_1"[8] 212.2.100.250:873 #23: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-00: peer is NATed
Mar 13 15:54:08 (none) pluto[2140]: "xxx_1"[8] 212.2.100.250:873 #23: discarding duplicate packet; already STATE_MAIN_R2
Mar 13 15:54:09 (none) pluto[2140]: "xxx_1"[8] 212.2.100.250:873 #23: ignoring informational payload, type IPSEC_INITIAL_CONTACT
Mar 13 15:54:09 (none) pluto[2140]: "xxx_1"[8] 212.2.100.250:873 #23: Peer ID is ID_USER_FQDN: 'aaa@bbb.ccc'
Mar 13 15:54:09 (none) pluto[2140]: "xxx_1"[8] 212.2.100.250:873 #23: Issuer CRL not found
Mar 13 15:54:09 (none) pluto[2140]: "xxx_1"[8] 212.2.100.250:873 #23: Issuer CRL not found
Mar 13 15:54:09 (none) pluto[2140]: "xxx_1"[8] 212.2.100.250:873 #23: sent MR3, ISAKMP SA established
Mar 13 15:54:12 (none) pluto[2140]: "xxx_1"[8] 212.2.100.250:873 #23: retransmitting in response to duplicate packet; already STATE_MAIN_R3
Mar 13 15:54:13 (none) pluto[2140]: "xxx_1"[8] 212.2.100.250:873 #23: retransmitting in response to duplicate packet; already STATE_MAIN_R3
Mar 13 15:54:13 (none) pluto[2140]: "xxx_1"[8] 212.2.100.250:873 #25: ENCAPSULATION_MODE_TUNNEL must only be used if NAT-Traversal is not detected
Mar 13 15:54:13 (none) pluto[2140]: "xxx_1"[8] 212.2.100.250:873 #25: responding to Quick Mode
Mar 13 15:54:15 (none) pluto[2140]: "xxx_1"[8] 212.2.100.250:873 #25: discarding duplicate packet; already STATE_QUICK_R1
Mar 13 15:54:15 (none) pluto[2140]: "xxx_1"[8] 212.2.100.250:873 #25: IPsec SA established
Mar 13 15:54:15 (none) pluto[2140]: "xxx_1"[8] 212.2.100.250:873 #23: received Delete SA payload: deleting IPSEC State #25
Mar 13 15:54:15 (none) pluto[2140]: "xxx_1"[8] 212.2.100.250:873 #23: received Delete SA payload: deleting ISAKMP State #23
Mar 13 15:55:17 (none) pluto[2140]: "xxx_1"[8] 212.2.100.250:873 #24: max number of retransmissions (2) reached STATE_MAIN_R1
Mar 13 15:55:17 (none) pluto[2140]: "xxx_1"[8] 212.2.100.250:873: deleting connection "xxx_1" instance with peer 212.2.100.250 

Sentinel is always retrying a connection 5 times and disconnecting.  


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    Changing Sentinel 1.4 to 1.3.2.2 solved partially the problem. But... I am not able to connect to W2000 Terminal Server via RDP now. Session status is "ConnectQuery" all the time. The rule from the roadwarrior virtual IP to the W2000 Serve (tcp/udp 3389) is established on the ASL4. Static route from W2000 to the virtual net is also created (on the W2000). What is going on now ???   
Reply
  • 0
    Hi,

    Changing Sentinel 1.4 to 1.3.2.2 solved partially the problem. But... I am not able to connect to W2000 Terminal Server via RDP now. Session status is "ConnectQuery" all the time. The rule from the roadwarrior virtual IP to the W2000 Serve (tcp/udp 3389) is established on the ASL4. Static route from W2000 to the virtual net is also created (on the W2000). What is going on now ???   
Children
  • 0 in reply to de_MarK
    is filterlivelog showing up any blocked packets while connecting?

    /marcel 
  • 0 in reply to Marcel_01
    Hi,

    No, I can't see any blocked packets. BTW, sometimes VPN and RDP work fine, but another time I see "ConnectQuery" on the W2000 till disconnect (after two, maybe three minutes). This happens regardless of auto packet filter settings (default on my ASL is "Off").
      
  • 0 in reply to de_MarK
    Hi,

    I've been noticed something strange in the IPsec log:

    Mar 19 14:19:22 (none) pluto[2140]: packet from 213.76.61.36:500: ignoring Vendor ID payload [SSH Communications Security IPSEC Express version 4.1.0]
    Mar 19 14:19:22 (none) pluto[2140]: packet from 213.76.61.36:500: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-01]
    Mar 19 14:19:22 (none) pluto[2140]: packet from 213.76.61.36:500: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-02]
    Mar 19 14:19:22 (none) pluto[2140]: packet from 213.76.61.36:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
    Mar 19 14:19:22 (none) pluto[2140]: "aaa_1"[1] 213.76.61.36 #92: responding to Main Mode from unknown peer 213.76.61.36
    Mar 19 14:19:23 (none) pluto[2140]: "aaa_1"[1] 213.76.61.36 #92: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-00: no NAT detected
    Mar 19 14:19:24 (none) pluto[2140]: "aaa_1"[1] 213.76.61.36 #92: ignoring informational payload, type IPSEC_INITIAL_CONTACT
    Mar 19 14:19:24 (none) pluto[2140]: "aaa_1"[1] 213.76.61.36 #92: Peer ID is ID_USER_FQDN: 'bbb@xxx.yyy.zzz'
    Mar 19 14:19:24 (none) pluto[2140]: "aaa_1"[1] 213.76.61.36 #92: Issuer CRL not found
    Mar 19 14:19:24 (none) pluto[2140]: "aaa_1"[1] 213.76.61.36 #92: Issuer CRL not found
    Mar 19 14:19:24 (none) pluto[2140]: "bbb_1"[2] 213.76.61.36 #92: deleting connection "aaa_1" instance with peer 213.76.61.36
    Mar 19 14:19:24 (none) pluto[2140]: "bbb_1"[2] 213.76.61.36 #92: sent MR3, ISAKMP SA established
    Mar 19 14:19:25 (none) pluto[2140]: "bbb_1"[2] 213.76.61.36 #93: responding to Quick Mode
    Mar 19 14:19:27 (none) pluto[2140]: "bbb_1"[2] 213.76.61.36 #93: IPsec SA established

    and, after terminating VPN till today:

    Mar 19 20:44:08 (none) pluto[2140]: "bbb_1"[2] 213.76.61.36 #120: max number of retransmissions (20) reached STATE_MAIN_I1.  No acceptable response to our first IKE message
    Mar 19 20:44:08 (none) pluto[2140]: "bbb_1"[2] 213.76.61.36 #120: starting keying attempt 26 of an unlimited number
    Mar 19 20:44:08 (none) pluto[2140]: "bbb_1"[2] 213.76.61.36 #121: initiating Main Mode to replace #120
    Mar 19 20:44:19 (none) pluto[2140]: ERROR: asynchronous network error report on eth2 for message to 213.76.61.36 port 500, complainant 213.76.61.36: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
    Mar 19 20:44:38 (none) pluto[2140]: ERROR: asynchronous network error report on eth2 for message to 213.76.61.36 port 500, complainant 213.76.61.36: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
    Mar 19 20:47:58 (none) pluto[2140]: ERROR: asynchronous network error report on eth2 for message to 213.76.61.36 port 500, complainant 213.76.61.36: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
    Mar 19 20:49:18 (none) pluto[2140]: ERROR: asynchronous network error report on eth2 for message to 213.76.61.36 port 500, complainant 213.76.61.36: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]

    First log shows connecting of "bbb" user (email bbb@xxx.yyy.zzz). But why it shows references of user "aaa" ??? And what do "asynchronous network errors" mean ?  Has ASL not detected the termination of VPN connection ?  
Cookie Information Banner