Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 2138 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sentinel client doesn´t work

IndianaJonas
Hello
I tried to conncet via IPSec Sentinel Client 1.4 to ASL 4.002.
the diagonstic work fine but if i want to use the vpn i get this message: "Cannot open the VPN Connection. Check that the Gateway is online and verify that you are using the correct authentification key"
I tried it form another client several times and it worked. 
any ideas  


This thread was automatically locked due to age.
Parents
  • 0
    I had a similar problem yesterday.  The client was behind a Linksys DSL router, and as you mentioned, the diagnostics worked fine but the connection would not establish.  The IPSec Live Log on the ASL said something to the effect of "Client looks like it is behind an ipsec-passthrough device -- NAT-T may not work".  IPSec Passthrough was disabled on the linksys, but the ASL logs still claimed that IPSec Passthrough was still enabled.

    I did two things before trying the connection again:

    1) Upgraded the firmware on the Linksys, in case there was a problem with IPSec Passthrough not being disabled, even when the option is marked as such.

    2) Lowered the MTU on the client machine.  I don't see why this would have prevented the tunnel from being established, when the diagnostics worked, but I do know that this will affect traffic after the tunnel is established.  FTP file transfers, Terminal Services, and mapping drives will all fail if the MTU on the client machine is configured too high, since the IPSec encapsulation, and other other encapsulations (PPPoE, UDP encapsulation) will make the packets too big.  The client was still set for the default 1500 bytes, and I lowered it to 1350 just to make that it was so low to rule out any MTU issues.  I'm sure you could raise it from there if that fixes your problem.  I just haven't spent the time to figure out the highest possible MTU that can be used.

    Anyway, I made both of those changes, and the tunnel worked great afterwards.  I'm not sure if your situation is similar, but hopefully something in this post will help.    
  • 0 in reply to Moby
    Thanks for advice
    can you tell me how to change the mtu on a windows xp client.
    i did it before for pppoe, but not for ipsec or sentinel
    thanks
    Indy  
Reply Children
  • 0 in reply to IndianaJonas
    You change the MTU the exact same way as you did for PPPoE.  When you use PPPoE, it adds additional information to a packet before sending it.  If you are already sending a packet that is 1500 bytes long, after the PPPoE header is added, the packet will be 1508 and will probably be dropped because it is too big.  So you configure your MTU to be 1492.

    Now when you start adding IPSec header and possibly UDP encapsulation (NAT-T) then your packets are probably becoming bigger than 1500 again, so you change the same MTU from 1492 down to something smaller.  I usually do 1400 just so I have plenty of room.  The Reg Key is:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\

    There will probably be some strange looking stuff after, like {2938F934-(lots more numbrs)}.  One of those should be for your network card.  You need to figure out which one is your NIC, and look for a value called "MTU".  Since you already set it once, it should be there.  If not, you can add a new DWord value, name it "MTU" and set it for "1400".  That should be good enough.  If you still have problems, (the tunnel will connect, you can ping servers, but other stuff breaks like file copies) you can try setting it lower -- around 1350 or 1300, but I don't think you will need to set it that low.

    Hope that helps.
      
Cookie Information Banner