IPSEC VPN from Sentinel 1.4 to ASL 4.0.16

If you are behind a firewall doing NAT, enable NAT-T in your SSH Sentinel. Please check also your connection setting, especially the endpoints and subnets on each side.  

Thanks for the tip.  I enabled the NAT-T option in Sentinel and attempted to connect, still got the same error.  I then applied a rulle to the firewall that forwarded all protocol 50 and UDP:500 directly to my machine, still nothing.  

Now I have created a new cert and connection thinking assuming I had setup the first one incorrectly.  When I run the diagnostic in Sentinel IKE Phase-1 passes and the IPSec proposal in  IKE Phase-2 fails. 

 Here is an exceprt taken from my Live IPSec log as I attempted to connect:

2003-Nov 24 08:48:05 (none) pluto[1011]: packet from 12.5.16.129:500: ignoring Vendor ID payload [SSH Sentinel 1.4]
2003-Nov 24 08:48:05 (none) pluto[1011]: packet from 12.5.16.129:500: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-01]
2003-Nov 24 08:48:05 (none) pluto[1011]: packet from 12.5.16.129:500: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-02]
2003-Nov 24 08:48:05 (none) pluto[1011]: packet from 12.5.16.129:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2003-Nov 24 08:48:05 (none) pluto[1011]: "c-dog2_1"[1] 12.5.16.129 #549: responding to Main Mode from unknown peer 12.5.16.129
2003-Nov 24 08:48:05 (none) pluto[1011]: "c-dog2_1"[1] 12.5.16.129 #549: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-00/01: both are NATed
2003-Nov 24 08:48:05 (none) pluto[1011]: "c-dog2_1"[1] 12.5.16.129 #549: Warning: peer is NATed but source port is still udp/500. Ipsec-passthrough NAT device suspected -- NAT-T may not work.
2003-Nov 24 08:48:05 (none) pluto[1011]: "c-dog2_1"[1] 12.5.16.129 #549: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2003-Nov 24 08:48:05 (none) pluto[1011]: "c-dog2_1"[1] 12.5.16.129 #549: Main mode peer ID is ID_IPV4_ADDR: '12.5.16.129'
2003-Nov 24 08:48:05 (none) pluto[1011]: "c-dog2_1"[1] 12.5.16.129 #549: sent MR3, ISAKMP SA established
2003-Nov 24 08:48:05 (none) pluto[1011]: "c-dog2_1"[1] 12.5.16.129 #549: cannot respond to IPsec SA request because no connection is known for 10.10.12.0/24===192.168.0.3...12.5.16.129===10.10.10.33/32
2003-Nov 24 08:48:05 (none) pluto[1011]: "c-dog2_1"[1] 12.5.16.129 #549: sending encrypted notification INVALID_ID_INFORMATION to 12.5.16.129:500

I have the connection "c-dog2" defined as a RoadWarrior using 3DES with packet filter on.  The local endpoint is the External card, Remote endpoint is 'any.'   Under Subnet Definition the Local Subnet is defined as Internal_Network_ and Remote Subnet is 'none.'  Authentication key is c-dog2 which I made specifically for the connection.

If anybody know why this may not be working I would appreciate their input.  It seems that I am close...but no cigar.  :-(  

Hi,

maybe this helps
 Link 

Greetings
Tom  

What subnet mask have you set in your sentinel settings. Please define a /24 subnet, a /32 would not work.  

It seems that your ASL is behind a Router, which has IPSec passthrough enabled. Please turn off IPSec Passthrough on your router and try it again.  

It seems that your ASL is behind a Router, which has IPSec passthrough enabled. Please turn off IPSec Passthrough on your router and try it again.  

Thank you for your help-

Yes, my ASL sits in a DMZ.  I tried disabling the IPSEC pass-through and IKE Phase-1 failed.  Watching the IKE Log in Sentinel I saw it retry the packet transmission 5 times before timing out.  When I re-enabled the IPSec pass-through the IKE Phase-1 works but Phase-2 still fails.   Next I tried 'de-assigning the LAN-nic an IP address, no luck.

Should I perhaps try to put ASL 'inside' my firewall rather than in a DMZ and specifically pass protocol 50 and UDP:500 traffic directly to it?

Thank you in advance,
Claud1e  

OK Folks, I got it to work and here's my setup:

Client (Sentinel 1.4)  >>>>>>  Firewall/NAT box #1 (10.10.10.100) -----Internet----- Firewall/NAT box #2 (10.10.10.200)