Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 1666 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN not working since intorduction of W/less Route

IanMacey
My set-up is as follows:

WORK LAN --- ASL v4 --- ADSL Modem --- [Internet] --- Cable Modem --- Home PC (WinXP Pro)

Using the "Host to Net - Static / Dynamic - X509" document I have created and
been using a VPN tunnel between my Home PC (using SSH Sentinal) and Work LAN.

At the Home side of the tunnel I have added a Linksys Wireless Broadband Router (WRT54G)
between the Home PC and Cable Modem.  My set-up now looks as follows:

WORK LAN --- ASL v4 --- ADSL Modem --- [Internet] --- Cable Modem --- Linksys Wireless Router --- Home PC (WinXP Pro)

My problem is that since installing the Linksys I have not been able to create the VPN
tunnel.

If I run diagnostics on SSH Sentinal I get the following error messge:

Cannot run the diagnostics.  The remote end cannot find suitable
IPSec proposal (phase-2) parameters.  Verify the IPSec proposal
parameters.

And my ASL reports the following (note. I have masked my Work IP as aaa.aaa.aaa.aaa and Home IP (ISP - DHCP assigned) as bbb.bbb.bbb.bbb):

2004-Apr 28 20:00:25 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #117: initiating Main Mode to replace #116
2004-Apr 28 20:06:21 (none) pluto[2110]: packet from bbb.bbb.bbb.bbb:500: ignoring Vendor ID payload [SSH Communications Security IPSEC Express version 4.1.0]
2004-Apr 28 20:06:21 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #118: responding to Main Mode from unknown peer bbb.bbb.bbb.bbb
2004-Apr 28 20:06:21 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #118: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2004-Apr 28 20:06:21 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #118: Main mode peer ID is ID_USER_FQDN: 'ian.macey@havanaintbank.co.uk'
2004-Apr 28 20:06:21 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #118: Issuer CRL not found
2004-Apr 28 20:06:21 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #118: Issuer CRL not found
2004-Apr 28 20:06:21 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #118: sent MR3, ISAKMP SA established
2004-Apr 28 20:06:21 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #118: cannot respond to IPsec SA request because no connection is known for 192.168.0.0/24===aaa.aaa.aaa.aaa[@aaa.aaa.aaa.aaa]...bbb.bbb.bbb.bbb[ian.macey@havanaintbank.co.uk]===192.168.1.100/32
2004-Apr 28 20:06:21 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #118: sending encrypted notification INVALID_ID_INFORMATION to bbb.bbb.bbb.bbb:500
2004-Apr 28 20:06:55 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #117: ignoring Vendor ID payload [SSH Communications Security IPSEC Express version 4.1.0]
2004-Apr 28 20:06:55 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #117: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-01]
2004-Apr 28 20:06:55 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #117: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-02]
2004-Apr 28 20:06:55 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #117: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2004-Apr 28 20:06:56 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #117: Main mode peer ID is ID_USER_FQDN: 'ian.macey@havanaintbank.co.uk'
2004-Apr 28 20:06:56 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #117: Issuer CA certificate not found
2004-Apr 28 20:06:56 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #117: X.509 certificate rejected
2004-Apr 28 20:06:56 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #117: Signature check (on ian.macey@havanaintbank.co.uk) failed (wrong key?); tried *AwEAAax/1
2004-Apr 28 20:06:56 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #117: sending notification INVALID_KEY_INFORMATION to bbb.bbb.bbb.bbb:500


Now if I disconnect the Linksys and put everything back as it originally was, I can create the VPN tunnel.

If anyone can offer any assistance it would be most welcome.

Regards Ian


This thread was automatically locked due to age.
  • 0
    Hi!
    I assume that your Linksys-Router is doing Network Adress Translation (NAT) and the Xp-host has got a private IP address.
    To get your configuration working you have to enable NAT-Traversal (NAT-T) on the ASL and in your Sentinel client. Additionally there are some caveats when doing this. First be sure to assign a virtual IP address on the Astaro for your host to connect.
    You have to choose it from an arbitrary subnet but NOT from your local subnet (because ASL cant do Proxy-ARP on virtual interfaces). In Sentinel enter this virtual IP too. You have to enter it manually because ASL cant do DHCP-overIPsec.
    Second make sure to disable a possible "IPsec-passthrough"-option on your Linksys if it is offered.
    If you have this option you can try it, then dont use NAT-T, but the more reliable solution is definetly NAT-T.
    If you face more problems please post again and will try to help you!
  • 0
    [ QUOTE ]
    At the Home side of the tunnel I have added a Linksys Wireless Broadband Router (WRT54G) between the Home PC and Cable Modem.

    [/ QUOTE ]Bad move, if you only need the Linksys to act as a local Wi-Fi access point, you should have placed it on a third, DMZ, network originating from your ASL box, not in between your broadband modem and your ASL router.

    However, if you are going to keep the Linksys router where it is, then disable the IPsec pass through option in it, and define port forwarding in to your ASL box for port 50 and port 500 instead.

    For more info on how to do this, check the Linksys Technical Support Knowledge Base:

    http://kb.linksys.com/cgi-bin/om_isapi.dll?
  • 0 in reply to VelvetFog
    From the quote that you instered and responded to it doesn't look like there is an ASL box at his house.

    I'm guessing that you need to log into the linksys and enable IPSEC and PPTP passthrough (should be check boxes on the security tab of the Linksys' "webadmin", but every linksys is defferent these days it seems [;)] ).

    If you've already done that, good luck getting the Sentinel working, personally, I have an astaro firewall at home as well as work. I think that's what VelvetFrog was assuming.
  • 0 in reply to equilibrium
    [ QUOTE ]
    Hi!
    I assume that your Linksys-Router is doing Network Adress Translation (NAT) and the Xp-host has got a private IP address.
    To get your configuration working you have to enable NAT-Traversal (NAT-T) on the ASL and in your Sentinel client. Additionally there are some caveats when doing this. First be sure to assign a virtual IP address on the Astaro for your host to connect.
    You have to choose it from an arbitrary subnet but NOT from your local subnet (because ASL cant do Proxy-ARP on virtual interfaces). In Sentinel enter this virtual IP too. You have to enter it manually because ASL cant do DHCP-overIPsec.
    Second make sure to disable a possible "IPsec-passthrough"-option on your Linksys if it is offered.
    If you have this option you can try it, then dont use NAT-T, but the more reliable solution is definetly NAT-T.
    If you face more problems please post again and will try to help you! 

    [/ QUOTE ]

    First of thanks for the quick response.

    I am a bit confused by the virtual IP that you mention.  My internal works network is 192.168.0.0 (255.255.255.0) and my home network is 192.168.1.0 (255.255.255.0) with the Linksys acting as a DHCP server.

    What would you recommend as a virtual ip address and were in ASL do I assign it?
  • 0 in reply to VelvetFog
    [ QUOTE ]
    [ QUOTE ]
    At the Home side of the tunnel I have added a Linksys Wireless Broadband Router (WRT54G) between the Home PC and Cable Modem.

    [/ QUOTE ]Bad move, if you only need the Linksys to act as a local Wi-Fi access point, you should have placed it on a third, DMZ, network originating from your ASL box, not in between your broadband modem and your ASL router.

    However, if you are going to keep the Linksys router where it is, then disable the IPsec pass through option in it, and define port forwarding in to your ASL box for port 50 and port 500 instead.

    For more info on how to do this, check the Linksys Technical Support Knowledge Base:

    http://kb.linksys.com/cgi-bin/om_isapi.dll? 

    [/ QUOTE ]

    The Linksys is at my home end, not at my work end.  Also I only have ASL at my work end.  The diagram in my original post is accurate.
  • 0 in reply to IanMacey
    That being the case, definetly check first to make sure that the linksys is set to allow IPSEC pass through.
  • 0 in reply to PaulHieb
    hi!
    You could use for example the IPs from the 192.168.2.0/24  subnet! In your case you only have to make sure not to choose from 192.168.0.0/24 and 192.168.1.0/24 because they are already in use.
    On the ASL you can define the virtual IP in the remote IPsec keys section. You can assign for each remote key one virtual ip.
    Hope that helps!
  • 0 in reply to equilibrium
    Got my VPN tunnel back up and running last night.  Many thanks to equilibrium, your help was of great assistance.
Cookie Information Banner