Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1235 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cannot establish Multiple IPSec Roadwarrior users

daveha
Cannot establish Multiple IPSec Roadwarrior users

Any help on this would be very welcome.

I have an Astaro V4 Box connected directly via ASDL and I am trying to establish multiple IPSec Roadwarrior X509 VPN into my Network.

I can establish one connection without any problem and it works fine but when another user tries to establish another connection simultaneously Astaro boots the first connection off in favor of the new connection.

The end result is that only one user can establish a connection at one time.

As you can see in the log extract below which shows  (161.xx.xx.xx#114: deleting connection "OAOTCA_2" instance with peer 142.xx.xx.xx)


Please can anyone help me with this problem or give me a working config example using X509 and Roadwarrior.


Many Thanks

David


    packet from 161.xx.xx.xx:500: ignoring Vendor ID payload [SSH Sentinel 1.4]
2003-Nov 27 11:50:26 (none) pluto[32222]: packet from 161. xx.xx.xx:500: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-01]
2003-Nov 27 11:50:26 (none) pluto[32222]: packet from 161.xx.xx.xx:500: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-02]
2003-Nov 27 11:50:26 (none) pluto[32222]: packet from 161.xx.xx.xx:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2003-Nov 27 11:50:26 (none) pluto[32222]: "OAOTCA_2"[2] 161.xx.xx.xx#114: responding to Main Mode from unknown peer 161.184.124.185
2003-Nov 27 11:50:26 (none) pluto[32222]: "OAOTCA_2"[2] 161.xx.xx.xx#114: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-00/01: peer is NATed
2003-Nov 27 11:50:26 (none) pluto[32222]: "OAOTCA_2"[2] 161.xx.xx.xx#114: Warning: peer is NATed but source port is still udp/500. Ipsec-passthrough NAT device suspected -- NAT-T may not work.
2003-Nov 27 11:50:27 (none) pluto[32222]: "OAOTCA_2"[2] 161.xx.xx.xx#114: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2003-Nov 27 11:50:27 (none) pluto[32222]: "OAOTCA_2"[2] 161.xx.xx.xx#114: Main mode peer ID is ID_USER_FQDN: 'dhandford@oaotca.com'
2003-Nov 27 11:50:27 (none) pluto[32222]: "OAOTCA_2"[2] 161.xx.xx.xx#114: Issuer CRL not found
2003-Nov 27 11:50:27 (none) pluto[32222]: "OAOTCA_2"[2] 161.xx.xx.xx#114: Issuer CRL not found
2003-Nov 27 11:50:27 (none) pluto[32222]: "OAOTCA_2"[2] 161.xx.xx.xx#114: deleting connection "OAOTCA_2" instance with peer 142.xx.xx.xx
2003-Nov 27 11:50:27 (none) pluto[32222]: "OAOTCA_2" #113: deleting state (STATE_QUICK_R2)
2003-Nov 27 11:50:27 (none) pluto[32222]: "OAOTCA_2" #112: deleting state (STATE_MAIN_R3)
2003-Nov 27 11:50:27 (none) pluto[32222]: "OAOTCA_2"[2] 161.xx.xx.xx#114: sent MR3, ISAKMP SA established
2003-Nov 27 11:50:27 (none) pluto[32222]: "OAOTCA_1"[1] 161.xx.xx.xx#115: responding to Quick Mode
2003-Nov 27 11:50:27 (none) pluto[32222]: "OAOTCA_1"[1] 161.xx.xx.xx#115: IPsec SA established
2003-Nov 27 11:50:41 (none) pluto[32222]: "OAOTCA_2"[2] 161.xx.xx.xx#114: received Delete SA payload: deleting IPSEC State #115
2003-Nov 27 11:50:41 (none) pluto[32222]: "OAOTCA_2"[2] 161.xx.xx.xx#114: deleting connection "OAOTCA_1" instance with peer 161.184.124.185
2003-Nov 27 11:50:41 (none) pluto[32222]: "OAOTCA_2"[2] 161.xx.xx.xx#114: received and ignored informational message
2003-Nov 27 11:50:41 (none) pluto[32222]: "OAOTCA_2"[2] 161.xx.xx.xx#114: received Delete SA payload: deleting ISAKMP State #114
2003-Nov 27 11:50:41 (none) pluto[32222]: "OAOTCA_2"[2] 161.184.124.185: deleting connection "OAOTCA_2" instance with peer 161.184.124.185
2003-Nov 27 11:50:41 (none) pluto[32222]: packet from 161.xx.xx.xx:500: received and ignored informational message
2003-Nov 27 11:51:31 (none) pluto[32222]: packet from 142.xx.xx.xx:500: Informational Exchange is for an unknown (expired?) SA
2003-Nov 27 11:51:45 (none) pluto[32222]: packet from 142.xx.xx.xx:500: ignoring Vendor ID payload [SSH Sentinel 1.4]
2003-Nov 27 11:51:45 (none) pluto[32222]: packet from 142.xx.xx.xx:500: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-01]
2003-Nov 27 11:51:45 (none) pluto[32222]: packet from 142.xx.xx.xx:500: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-02]
2003-Nov 27 11:51:45 (none) pluto[32222]: packet from 142.xx.xx.xx:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2003-Nov 27 11:51:45 (none) pluto[32222]: "OAOTCA_2"[3] 142.xx.xx.xx #116: responding to Main Mode from unknown peer 142.xx.xx.xx
2003-Nov 27 11:51:45 (none) pluto[32222]: "OAOTCA_2"[3] 142.xx.xx.xx #116: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-00/01: no NAT detected
2003-Nov 27 11:51:45 (none) pluto[32222]: "OAOTCA_2"[3] 142.xx.xx.xx #116: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2003-Nov 27 11:51:45 (none) pluto[32222]: "OAOTCA_2"[3] 142.xx.xx.xx #116: Main mode peer ID is ID_USER_FQDN: 'dhandford@oaotca.com'
2003-Nov 27 11:51:45 (none) pluto[32222]: "OAOTCA_2"[3] 142.xx.xx.xx #116: Signature check (on dhandford@oaotca.com) failed (wrong key?); tried *AwEAAdlQD
2003-Nov 27 11:51:45 (none) pluto[32222]: "OAOTCA_2"[3] 142.xx.xx.xx #116: sending notification INVALID_KEY_INFORMATION to 142.xx.xx.xx:500
2003-Nov 27 11:51:52 (none) pluto[32222]: packet from 142.xx.xx.xx:500: ignoring Vendor ID payload [SSH Sentinel 1.4]
2003-Nov 27 11:51:52 (none) pluto[32222]: packet from 142.xx.xx.xx:500: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-01]
2003-Nov 27 11:51:52 (none) pluto[32222]: packet from 142.xx.xx.xx:500: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-02]
2003-Nov 27 11:51:52 (none) pluto[32222]: packet from 142.xx.xx.xx:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2003-Nov 27 11:51:52 (none) pluto[32222]: "OAOTCA_2"[3] 142.xx.xx.xx #117: responding to Main Mode from unknown peer 142.xx.xx.xx
2003-Nov 27 11:51:52 (none) pluto[32222]: "OAOTCA_2"[3] 142.xx.xx.xx #117: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-00/01: no NAT detected
2003-Nov 27 11:51:52 (none) pluto[32222]: "OAOTCA_2"[3] 142.xx.xx.xx #117: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2003-Nov 27 11:51:52 (none) pluto[32222]: "OAOTCA_2"[3] 142.xx.xx.xx #117: Main mode peer ID is ID_USER_FQDN: 'dhandford@oaotca.com'
2003-Nov 27 11:51:52 (none) pluto[32222]: "OAOTCA_2"[3] 142.xx.xx.xx #117: Issuer CRL not found
2003-Nov 27 11:51:52 (none) pluto[32222]: "OAOTCA_2"[3] 142.xx.xx.xx #117: Issuer CRL not found
2003-Nov 27 11:51:52 (none) pluto[32222]: "OAOTCA_2"[3] 142.xx.xx.xx #117: sent MR3, ISAKMP SA established
2003-Nov 27 11:51:52 (none) pluto[32222]: "OAOTCA_2"[3] 142.xx.xx.xx #118: responding to Quick Mode
2003-Nov 27 11:51:52 (none) pluto[32222]: "OAOTCA_2"[3] 142.xx.xx.xx #118: IPsec SA established





  


This thread was automatically locked due to age.
Parents
  • 0
    On the ASL Box, have you defined only one VPN IPSEC connection with all the different X509 client certificates allowed ?

    If yes, I've solved the same problem by creating as many connections as X509 client certiifcates allowed (one certificate for each connection).   
  • 0 in reply to jam
    Thanks for the help but this did not resolve the problem as I am still getting the 161.xx.xx.xx#114: deleting connection "OAOTCA_2" instance with peer 142.xx.xx.xx) message.
    If anyone as a resolution for this it would help alot

    daveha   
  • 0 in reply to daveha
    Do you have defined distinct virtual IP for each certificate in IPSEC VPN > Remote Keys ?   
  • 0 in reply to jam
    Yes each key as its own Virtual IP.

    I have checked all the obvious but I still cannot get it to connect multiple users.

    I wonder if anyone else is having this problem?
      
  • 0 in reply to daveha
    Looking at your log I found something strange :

    it looks like if you were using the same certificate (or the same ID in the certifcates) for the two connections:

    ...
    2003-Nov 27 11:50:27 (none) pluto[32222]: "OAOTCA_2"[2] 161.xx.xx.xx#114: Main mode peer ID is ID_USER_FQDN: 'dhandford@oaotca.com'
    ...
    2003-Nov 27 11:51:45 (none) pluto[32222]: "OAOTCA_2"[3] 142.xx.xx.xx #116: Main mode peer ID is ID_USER_FQDN: 'dhandford@oaotca.com'
    ...

    If you really use two certificates with the same ID (dhanford@oaotca.com), just try to generate and use another one with a different ID (toto@toto.com for example) for the second connection.
          
Reply
  • 0 in reply to daveha
    Looking at your log I found something strange :

    it looks like if you were using the same certificate (or the same ID in the certifcates) for the two connections:

    ...
    2003-Nov 27 11:50:27 (none) pluto[32222]: "OAOTCA_2"[2] 161.xx.xx.xx#114: Main mode peer ID is ID_USER_FQDN: 'dhandford@oaotca.com'
    ...
    2003-Nov 27 11:51:45 (none) pluto[32222]: "OAOTCA_2"[3] 142.xx.xx.xx #116: Main mode peer ID is ID_USER_FQDN: 'dhandford@oaotca.com'
    ...

    If you really use two certificates with the same ID (dhanford@oaotca.com), just try to generate and use another one with a different ID (toto@toto.com for example) for the second connection.
          
Children
No Data
Cookie Information Banner