Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 828 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

L2TP Roadwarrior, V5, and OS X client ... almost!

Greg Combs
Ok, so PPTP roadwarrioring works fine, however due to some stink at my school I have to get L2TP working instead.

I've followed the instructions in the L2TP roadwarrior doc on astaro's website, replacing the windows client setup info with that needed for OS X.

I don't have a DNAT or SNAT or NAT set up for this because I didn't see anything about that in the VPN setup doc, and if I'm supposed to then I don't know the settings.

I don't have any packet filter rules set up for this for the same reason ... not in the doc, and again if I'm supposed to I have no idea what the settings are.

When I set the local endpoint to my DMZ, (not my WAN/External), I can open a successful L2TP connection from the mac as long as I'm adressing it from inside the DMZ already.  So this is a useless success other than to prove the client works.

When I change the local endpoint to be my external/real/WAN address, I can't get a successful connection from the mac no matter where I am, either outside or inside the firewall.

Can someone give some pointers on what to do that isn't covered in this stupid doc to make it work?

[edited]
Forgot to mention that I do have a Masq for anything in my DMZ to appear as my WAN address.

Greg


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to Stephan_Scholz
    Ok, i don't have my mac with me so these are attempts with an XP client, set up identically to the guidebook...

    000  
    000 "S_Home_IPSec_VPN_1"[6]: 67.65.x.x:17/0...129.110.x.x:27[10.110.x.x]:17/1701===10.110.x.x/32
    000 "S_Home_IPSec_VPN_1"[6]:   CAs: '%any'...'%any'
    000 "S_Home_IPSec_VPN_1"[6]:   ike_life: 28800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
    000 "S_Home_IPSec_VPN_1"[6]:   policy: PSK+ENCRYPT; interface: eth1; erouted
    000 "S_Home_IPSec_VPN_1"[6]:   newest ISAKMP SA: #5; newest IPsec SA: #6; eroute owner: #6
    000 "S_Home_IPSec_VPN_1"[6]:   IKE algorithms wanted: 5_000-2-14, flags=-strict
    000 "S_Home_IPSec_VPN_1"[6]:   IKE algorithms found:  5_192-2_160-14, 
    000 "S_Home_IPSec_VPN_1"[6]:   IKE algorithm newest: 3DES_CBC_192-SHA-MODP1024
    000 "S_Home_IPSec_VPN_1"[6]:   ESP algorithms wanted: 3_000-1, flags=-strict
    000 "S_Home_IPSec_VPN_1"[6]:   ESP algorithms loaded: 3_168-1_128, 
    000 "S_Home_IPSec_VPN_1"[6]:   ESP algorithm newest: 3DES_0-HMAC_MD5; pfsgroup=
    000 "S_Home_IPSec_VPN_1": 67.65.x.x:17/0...%any:17/%any==={0.0.0.0/0}
    000 "S_Home_IPSec_VPN_1":   CAs: '%any'...'%any'
    000 "S_Home_IPSec_VPN_1":   ike_life: 28800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
    000 "S_Home_IPSec_VPN_1":   policy: PSK+ENCRYPT; interface: eth1; unrouted
    000 "S_Home_IPSec_VPN_1":   newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0
    000 "S_Home_IPSec_VPN_1":   IKE algorithms wanted: 5_000-2-14, flags=-strict
    000 "S_Home_IPSec_VPN_1":   IKE algorithms found:  5_192-2_160-14, 
    000 "S_Home_IPSec_VPN_1":   ESP algorithms wanted: 3_000-1, flags=-strict
    000 "S_Home_IPSec_VPN_1":   ESP algorithms loaded: 3_168-1_128, 
    000 "S_Home_IPSec_VPN_0": 67.65.x.x:17/1701...%any:17/%any==={0.0.0.0/0}
    000 "S_Home_IPSec_VPN_0":   CAs: '%any'...'%any'
    000 "S_Home_IPSec_VPN_0":   ike_life: 28800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
    000 "S_Home_IPSec_VPN_0":   policy: PSK+ENCRYPT; interface: eth1; unrouted
    000 "S_Home_IPSec_VPN_0":   newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0
    000 "S_Home_IPSec_VPN_0":   IKE algorithms wanted: 5_000-2-14, flags=-strict
    000 "S_Home_IPSec_VPN_0":   IKE algorithms found:  5_192-2_160-14, 
    000 "S_Home_IPSec_VPN_0":   ESP algorithms wanted: 3_000-1, flags=-strict
    000 "S_Home_IPSec_VPN_0":   ESP algorithms loaded: 3_168-1_128, 
    000  
    000 #6: "S_Home_IPSec_VPN_1"[6] 129.110.x.x:27 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 3316s; newest IPSEC; eroute owner
    000 #6: "S_Home_IPSec_VPN_1"[6] 129.110.x.x:27 esp.4a573e8b@129.110.x.x esp.c83c597c@67.65.x.x
    000 #5: "S_Home_IPSec_VPN_1"[6] 129.110.x.x:27 STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 28515s; newest ISAKMP

    VPN Routes
    0          67.65.x.x/32:0   -> 10.110.x.x/32:1701 => esp0x4c6e8198@129.110.x.x:17

    2004:07:01-12:18:30 (none) pluto[10568]: packet from 129.110.x.x:28: received and ignored informational message
    2004:07:01-12:19:30 (none) pluto[10568]: packet from 129.110.x.x:28: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000003]
    2004:07:01-12:19:30 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[15] 129.110.x.x:28 #15: responding to Main Mode from unknown peer 129.110.x.x:28
    2004:07:01-12:19:30 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[15] 129.110.x.x:28 #15: transition from state (null) to state STATE_MAIN_R1
    2004:07:01-12:19:31 (none) pluto[10568]: packet from 129.110.x.x:28: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000003]
    2004:07:01-12:19:31 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[15] 129.110.x.x:28 #16: responding to Main Mode from unknown peer 129.110.x.x:28
    2004:07:01-12:19:31 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[15] 129.110.x.x:28 #16: transition from state (null) to state STATE_MAIN_R1
    2004:07:01-12:19:32 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[15] 129.110.x.x:28 #15: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
    2004:07:01-12:19:32 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[15] 129.110.x.x:28 #16: ignoring informational payload, type INVALID_COOKIE
    2004:07:01-12:19:32 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[15] 129.110.x.x:28 #16: received and ignored informational message
    2004:07:01-12:19:33 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[15] 129.110.x.x:28 #15: Main mode peer ID is ID_IPV4_ADDR: '10.110.x.x'
    2004:07:01-12:19:33 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[16] 129.110.x.x:28 #15: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3
    2004:07:01-12:19:33 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[16] 129.110.x.x:28 #15: sent MR3, ISAKMP SA established
    2004:07:01-12:19:33 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[16] 129.110.x.x:28 #15: retransmitting in response to duplicate packet; already STATE_MAIN_R3
    2004:07:01-12:19:34 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[16] 129.110.x.x:28 #17: responding to Quick Mode
    2004:07:01-12:19:34 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[16] 129.110.x.x:28 #17: transition from state (null) to state STATE_QUICK_R1
    2004:07:01-12:19:35 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[16] 129.110.x.x:28 #17: discarding duplicate packet; already STATE_QUICK_R1
    2004:07:01-12:19:35 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[16] 129.110.x.x:28 #17: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2
    2004:07:01-12:19:35 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[16] 129.110.x.x:28 #17: IPsec SA established
    2004:07:01-12:19:42 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[15] 129.110.x.x:28 #16: ignoring informational payload, type INVALID_COOKIE
    2004:07:01-12:19:42 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[15] 129.110.x.x:28 #16: received and ignored informational message
    2004:07:01-12:20:02 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[15] 129.110.x.x:28 #16: ignoring informational payload, type INVALID_COOKIE
    2004:07:01-12:20:02 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[15] 129.110.x.x:28 #16: received and ignored informational message
    2004:07:01-12:20:10 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[16] 129.110.x.x:28 #15: received Delete SA payload: deleting IPSEC State #17
    2004:07:01-12:20:11 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[16] 129.110.x.x:28 #15: received and ignored informational message
    2004:07:01-12:20:11 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[16] 129.110.x.x:28 #15: received Delete SA payload: deleting ISAKMP State #15
    2004:07:01-12:20:11 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[16] 129.110.x.x:28: deleting connection "S_Home_IPSec_VPN_1" instance with peer 129.110.x.x
    2004:07:01-12:20:11 (none) pluto[10568]: packet from 129.110.x.x:28: received and ignored informational message
    2004:07:01-12:20:41 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[15] 129.110.x.x:28 #16: max number of retransmissions (2) reached STATE_MAIN_R1
    2004:07:01-12:20:41 (none) pluto[10568]: "S_Home_IPSec_VPN_1"[15] 129.110.x.x:28: deleting connection "S_Home_IPSec_VPN_1" instance with peer 129.110.x.x
  • 0 in reply to Greg Combs
    Looks like the client has some problems setting up the IPSec SA. At one point ASL says "IPSec SA established", but I'm not sure whether the client thinks so, too, i.e. whether the IPSec connection is established from the client's point of view :-)

    Here's what you can do:
    - Check whether ESP packets actually arrive at the gateway (or UDP port 4500 for NAT-Traversal)
    - Make sure that NAT-Traversal is enabled on both sides if the client is NATed
    - Apply the NAT-Traversal update on the XP machine (go to http://v4.windowsupdate.microsoft.com/catalog and search for "ipsec" for produce "Windows XP SP1". This gives you the IPSec update 818043)

    Regards,
    Stephan
Cookie Information Banner