Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 3137 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help Please! IKE Phase-2 always fails (ASL 4.010)

ElJefe
Hello, I hope someone here can help me...

I have an ASL 4.010 system. I have gone though the creation of CA, CERTs and Connections per the latest X.509 Host to Net pdf guide on docs.astaro.org. 

I am using SSH Sentinel 1.4. After setting up the connection and verifying settings on both sides I try a diagnostics run of the connection.

IKE Phase-1 works fine. In live log I can see the key information from the remote user. IKE Phase-2 always fails. I have seen messages about not being able to pass IP or IPSEC packets but I cannot remember clearly what they were. 

Ideas?
  


This thread was automatically locked due to age.
  • 0 in reply to ElJefe
    I have same kind of problems when trying to connect my ASL with SuperFreeSwan.

    I have NAT enabled and SA goes fine but then i get that same message - no conenction is known.

    Aug 31 13:44:21 (none) pluto[7737]: | NAT-T: new mapping :500/4500)
    Aug 31 13:44:21 (none) pluto[7737]: "_1"[2] :4500 #11: sent MR3, ISAKMP SA established
    Aug 31 13:44:24 (none) pluto[7737]: "_1"[2] :4500 #11: cannot respond to IPsec SA request because no connection is known for /26===:4500[@]...:4500[@]===/32
    A

      
  • 0 in reply to ElJefe
    I used a totally different private IP for my virtual IP settings.

    My Green IP range is 192.168.3.X

    For IPSEC, I assigned users IP's from the 192.168.100.x range.

    I cannot remember what setting I used in SSH Sentinel for this as I no longer have it installed [:(]
     
  • 0 in reply to Simon Shaw
    I was just wondering that maybe something is wrong. I have tought that when that line saying
    'Aug 31 13:44:21 (none) pluto[7737]: | NAT-T: new mapping :500/4500)' some kind of routing entry should be added so that roadwarrior could be reached.

    On client side it freeswan says clearly:
    [root@blerp root]# ipsec auto --up syra
    104 "syra" #1: STATE_MAIN_I1: initiate
    003 "syra" #1: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
    106 "syra" #1: STATE_MAIN_I2: sent MI2, expecting MR2
    003 "syra" #1: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-03: i am NATed
    108 "syra" #1: STATE_MAIN_I3: sent MI3, expecting MR3
    004 "syra" #1: STATE_MAIN_I4: ISAKMP SA established
    112 "syra" #2: STATE_QUICK_I1: initiate
    010 "syra" #2: STATE_QUICK_I1: retransmission; will wait 20s for response
    010 "syra" #2: STATE_QUICK_I1: retransmission; will wait 40s for response
    031 "syra" #2: max number of retransmissions (2) reached STATE_QUICK_I1.  No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
    000 "syra" #2: starting keying attempt 2 of an unlimited number, but releasing whack
    [root@blerp root]#

    So my roadwarrior is trying to create NAT-T connection. Routing entry is added too.
     
    On astaro side it says that NAT-T mapping is done. IPEC-SA cannot be estabilished because connection does not exists.
    ===:4500[@]..:4500[@]===/32

    That indicates that it still thinks client is not behind NAT-T if I parse that correctly. Is NAT-T mapping seen in somewhere like routing entries ?

    On status page connection is defined as:
    ===[@]...%virtual[@]
    So it is defined as roadwarrior and NAT-T is used there too.

    Astaro sends INVALID_MSG_ID back to my roadwarrion (i can see it coming with tcpdump also).

    I asked my operator is there any IPSec passthrough stuff on the way and they said there isn't anything. Of course I can't be quite sure did the person in phone actually understood what I asked for. I have succesfully configured Sentinel with Astaro from same location so it isn't anything in network that should prevent this from working.
      
Cookie Information Banner