Cisco 3030 VPN Con <--> ASL in a NET 2 NET Help!

Anyone?  

Hi there ,

ESP/SHA/HMAC-160 -> SHA1-192
ESP/MD5/HMAC-128 -> MD5-160

thats it 

kind regards
Gert

 

I'll work on that, does Astaro automagically step down to the 128 MD5 that the cisco is using even though it's set to 160? 

Not working the other side is seeing a failure, it's something in the IKE...  i'm seeing this error in the live log  (the ip's have been changed to protect the innocent!)

"LOCAL__TO__WORK_1" #36: peer requested 86400 seconds which exceeds our limit 28800 seconds.  Attribute OAKLEY_LIFE_DURATION (variable length)
Apr 24 19:28:03 (none) pluto[4709]: "LOCAL__TO__WORK_1" #36: no acceptable Oakley Transform
Apr 24 19:28:03 (none) pluto[4709]: "LOCAL__TO__WORK_1" #36: sending notification NO_PROPOSAL_CHOSEN to xx.xxx.102.229:500
 

i'd like to also add this error.  if you want a FULL Trace I can post

NO_PROPOSAL_CHOSEN 

Ok i've got a little more now....  BUT...  i'm seeing this error in the LIVE LOG

cannot respond to IPsec SA request because no connection is known  

Here is a complete dump of the status window

000  
000 "LOCAL__TO__WORK_1": 192.168.2.254/32===134.22.70.251...64.119.102.229===172.16.1.0/24
000 "LOCAL__TO__WORK_1":   ike_life: 7800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "LOCAL__TO__WORK_1":   policy: PSK+ENCRYPT+TUNNEL; interface: ppp0; unrouted
000 "LOCAL__TO__WORK_1":   newest ISAKMP SA: #4; newest IPsec SA: #0; eroute owner: #0
000 "LOCAL__TO__WORK_1":   IKE algorithms wanted: 5_000-1-5, flags=-strict
000 "LOCAL__TO__WORK_1":   IKE algorithms found:  5_192-1_128-5, 
000 "LOCAL__TO__WORK_1":   IKE algorithm newest: 3DES_CBC_192-MD5-MODP1536 (extension)
000 "LOCAL__TO__WORK_1":   ESP algorithms wanted: 12_128-1, flags=-strict
000 "LOCAL__TO__WORK_1":   ESP algorithms loaded: 12_128-1_128, 
000  
000 #99: "LOCAL__TO__WORK_1" STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 17s
000 #4: "LOCAL__TO__WORK_1" STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 893s; newest ISAKMP
000

Anyone have ideas on this? I am experiencing the exact same issue between an ASL4 (4.015) box and a Cisco 3005 VPN Concentrator where the Authentication protocol encryption options are not matching up. I'm desperately trying to get this working.

Thanks!
BA_516  

Okay, got it up and running! It took a little tweaking of the protocol setup in WebAdmin as I had to find the right combination. Here's how I've got it setup.

>Policy: 3DES (I just used the default name and modified it to suit)
>Key Exchange: IKE
>
>IKE Settings
>    IKE Mode:  Main Mode
>    Encryption Algorithm: 3DES-CBC
>    Authentication Algorithm: MD5 160bit
>    IKE DH Group: DH Group 2 (MODP1024)       SA lifetime (secs): 7800  (default)
>
>IPSec Settings:
>    IPSec mode: Tunnel
>    IPSec protocol: ESP
>    Encryption Algorithm: 3DES
>    Enforce Algorithms: Off
>    Authentication Algorithm: SHA1 192bit
>    SA lifetime (secs): 3600 (default)
>    PFS: No PFS
>    Compression: Off

Hope this helps!
Michael