Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 1668 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN not working since intorduction of W/less Route

IanMacey
My set-up is as follows:

WORK LAN --- ASL v4 --- ADSL Modem --- [Internet] --- Cable Modem --- Home PC (WinXP Pro)

Using the "Host to Net - Static / Dynamic - X509" document I have created and
been using a VPN tunnel between my Home PC (using SSH Sentinal) and Work LAN.

At the Home side of the tunnel I have added a Linksys Wireless Broadband Router (WRT54G)
between the Home PC and Cable Modem.  My set-up now looks as follows:

WORK LAN --- ASL v4 --- ADSL Modem --- [Internet] --- Cable Modem --- Linksys Wireless Router --- Home PC (WinXP Pro)

My problem is that since installing the Linksys I have not been able to create the VPN
tunnel.

If I run diagnostics on SSH Sentinal I get the following error messge:

Cannot run the diagnostics.  The remote end cannot find suitable
IPSec proposal (phase-2) parameters.  Verify the IPSec proposal
parameters.

And my ASL reports the following (note. I have masked my Work IP as aaa.aaa.aaa.aaa and Home IP (ISP - DHCP assigned) as bbb.bbb.bbb.bbb):

2004-Apr 28 20:00:25 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #117: initiating Main Mode to replace #116
2004-Apr 28 20:06:21 (none) pluto[2110]: packet from bbb.bbb.bbb.bbb:500: ignoring Vendor ID payload [SSH Communications Security IPSEC Express version 4.1.0]
2004-Apr 28 20:06:21 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #118: responding to Main Mode from unknown peer bbb.bbb.bbb.bbb
2004-Apr 28 20:06:21 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #118: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2004-Apr 28 20:06:21 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #118: Main mode peer ID is ID_USER_FQDN: 'ian.macey@havanaintbank.co.uk'
2004-Apr 28 20:06:21 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #118: Issuer CRL not found
2004-Apr 28 20:06:21 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #118: Issuer CRL not found
2004-Apr 28 20:06:21 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #118: sent MR3, ISAKMP SA established
2004-Apr 28 20:06:21 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #118: cannot respond to IPsec SA request because no connection is known for 192.168.0.0/24===aaa.aaa.aaa.aaa[@aaa.aaa.aaa.aaa]...bbb.bbb.bbb.bbb[ian.macey@havanaintbank.co.uk]===192.168.1.100/32
2004-Apr 28 20:06:21 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #118: sending encrypted notification INVALID_ID_INFORMATION to bbb.bbb.bbb.bbb:500
2004-Apr 28 20:06:55 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #117: ignoring Vendor ID payload [SSH Communications Security IPSEC Express version 4.1.0]
2004-Apr 28 20:06:55 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #117: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-01]
2004-Apr 28 20:06:55 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #117: ignoring Vendor ID payload [draft-stenberg-ipsec-nat-traversal-02]
2004-Apr 28 20:06:55 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #117: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2004-Apr 28 20:06:56 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #117: Main mode peer ID is ID_USER_FQDN: 'ian.macey@havanaintbank.co.uk'
2004-Apr 28 20:06:56 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #117: Issuer CA certificate not found
2004-Apr 28 20:06:56 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #117: X.509 certificate rejected
2004-Apr 28 20:06:56 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #117: Signature check (on ian.macey@havanaintbank.co.uk) failed (wrong key?); tried *AwEAAax/1
2004-Apr 28 20:06:56 (none) pluto[2110]: "IanMacey_1"[7] bbb.bbb.bbb.bbb #117: sending notification INVALID_KEY_INFORMATION to bbb.bbb.bbb.bbb:500


Now if I disconnect the Linksys and put everything back as it originally was, I can create the VPN tunnel.

If anyone can offer any assistance it would be most welcome.

Regards Ian


This thread was automatically locked due to age.
Parents
  • 0
    Hi!
    I assume that your Linksys-Router is doing Network Adress Translation (NAT) and the Xp-host has got a private IP address.
    To get your configuration working you have to enable NAT-Traversal (NAT-T) on the ASL and in your Sentinel client. Additionally there are some caveats when doing this. First be sure to assign a virtual IP address on the Astaro for your host to connect.
    You have to choose it from an arbitrary subnet but NOT from your local subnet (because ASL cant do Proxy-ARP on virtual interfaces). In Sentinel enter this virtual IP too. You have to enter it manually because ASL cant do DHCP-overIPsec.
    Second make sure to disable a possible "IPsec-passthrough"-option on your Linksys if it is offered.
    If you have this option you can try it, then dont use NAT-T, but the more reliable solution is definetly NAT-T.
    If you face more problems please post again and will try to help you!
Reply
  • 0
    Hi!
    I assume that your Linksys-Router is doing Network Adress Translation (NAT) and the Xp-host has got a private IP address.
    To get your configuration working you have to enable NAT-Traversal (NAT-T) on the ASL and in your Sentinel client. Additionally there are some caveats when doing this. First be sure to assign a virtual IP address on the Astaro for your host to connect.
    You have to choose it from an arbitrary subnet but NOT from your local subnet (because ASL cant do Proxy-ARP on virtual interfaces). In Sentinel enter this virtual IP too. You have to enter it manually because ASL cant do DHCP-overIPsec.
    Second make sure to disable a possible "IPsec-passthrough"-option on your Linksys if it is offered.
    If you have this option you can try it, then dont use NAT-T, but the more reliable solution is definetly NAT-T.
    If you face more problems please post again and will try to help you!
Children
  • 0 in reply to equilibrium
    [ QUOTE ]
    Hi!
    I assume that your Linksys-Router is doing Network Adress Translation (NAT) and the Xp-host has got a private IP address.
    To get your configuration working you have to enable NAT-Traversal (NAT-T) on the ASL and in your Sentinel client. Additionally there are some caveats when doing this. First be sure to assign a virtual IP address on the Astaro for your host to connect.
    You have to choose it from an arbitrary subnet but NOT from your local subnet (because ASL cant do Proxy-ARP on virtual interfaces). In Sentinel enter this virtual IP too. You have to enter it manually because ASL cant do DHCP-overIPsec.
    Second make sure to disable a possible "IPsec-passthrough"-option on your Linksys if it is offered.
    If you have this option you can try it, then dont use NAT-T, but the more reliable solution is definetly NAT-T.
    If you face more problems please post again and will try to help you! 

    [/ QUOTE ]

    First of thanks for the quick response.

    I am a bit confused by the virtual IP that you mention.  My internal works network is 192.168.0.0 (255.255.255.0) and my home network is 192.168.1.0 (255.255.255.0) with the Linksys acting as a DHCP server.

    What would you recommend as a virtual ip address and were in ASL do I assign it?
Cookie Information Banner