win32 with ebootis vpn against asl4.008

Of course Marcus Müller's tool works both with W2k and XP. You seem to
have a misconfiguration on the ASL side. You didn't show enough of the
log information for me to tell you what is wrong with your connection
definition.

Kind regards

Andreas  

Hi,

I didn´t changed any of the standard-ipsec-policies on the
asl 4.009. If I connect with SSH Sentinel it works fine and without any problems. Assuming I use the standard conf
of the ebootis vpn, do I have to add a special policy to my 
ipsec policies on the astaro? Maybe you could post your
ebootis conf file which works for you and tell me if you changed some policy-settings on the asl. This could help me very much.

best regards
Jörg
 

I had the same issue for the past week and I believe I have found the fix.  Pre-shared keys worked fine so I was comfortable that my ipsec.conf on windows was setup properly.  x.509 Certs just didn't work at all though.  After a lot of research I came across this:

According to http://www.strongsec.com/freeswan/install.htm#section_9.5

9.5 Windows 2000/XP
Windows 2000 and Windows XP always send the ID type DER_ASN1_DN, therefore rightid in the connection definition of the FreeS/WAN security gateway must be an ASN.1 distinguished name.

What I did was create a new cert for the client machine using x509 DN (not email as the astaro faq says) as the VPN ID leaving the field blank as it gets automatically generated with the cert creation.  After I went through importing the cert/updating the connection etc... everything worked fine.  

I think that the other 3d party IPSec clients must support sending more that just the DER_ASN1_DN for negotiation with FreeS/Wan which is why they seem to work fine with the email as a VPN ID.

Hope this helps.    

I had the same issue for the past week and I believe I have found the fix.  Pre-shared keys worked fine so I was comfortable that my ipsec.conf on windows was setup properly.  x.509 Certs just didn't work at all though.  After a lot of research I came across this:

According to http://www.strongsec.com/freeswan/install.htm#section_9.5

9.5 Windows 2000/XP
Windows 2000 and Windows XP always send the ID type DER_ASN1_DN, therefore rightid in the connection definition of the FreeS/WAN security gateway must be an ASN.1 distinguished name.

What I did was create a new cert for the client machine using x509 DN (not email as the astaro faq says) as the VPN ID leaving the field blank as it gets automatically generated with the cert creation.  After I went through importing the cert/updating the connection etc... everything worked fine.  

I think that the other 3d party IPSec clients must support sending more that just the DER_ASN1_DN for negotiation with FreeS/Wan which is why they seem to work fine with the email as a VPN ID.

Hope this helps.    

Some other issues I have found when using built-in Win2k VPN with FreeS/Wan is that renegotiation of a SA might fail and you will see event log entries in Win2k like this:

IKE security association establishment failed because peer sent invalid proposal.
 Mode: 
Key Exchange Mode (Main Mode)

 Filter: 
Source IP Address xxx.xxx.xxx.xxx
Source IP Address Mask 255.255.255.255
Destination IP Address xxx.xxx.xxx.xxx
Destination IP Address Mask 255.255.255.255
Protocol 0
Source Port 0
Destination Port 0

 Attribute: 
Phase I Diffie-Hellman Group
 Expected value: 
2
 Received value: 
5

I tried to set the group value in the Win2k IPSec Policy to 5 but it only supports 1 or 2 so I modified the ipsec policy in use on Astaro 3DES_PFS_COMP to use group 2 under IKE Negotiation and the errors no longer occur.

I also found an error in the event log on Win2k referring to IKE negotiation that says Win2k received MD5 but was expecting SHA1.  Win2k should go through all of its IKE negotiation methods but for some reason didn't.  

I edited the Freeswan  IPSec Policy in Win2k under General, Advanced, Methods and moved the 3DES MD5 policy to first in the list.  

Again, I hope this helps some people out.