Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 4966 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

we require peer to have ID...

sHiftY
Hi

I got a problem with a VPN connection to a Cisco. The problem is that this device is not sending it's offical IP adress as peer ID.
I know that they should just change it to the right one. But the technican on thier side says that this is not possible and this is not the problem. [:(]
Is there a way to change it in the Astaro configuration? I just want to test this and then tell them that this really is the problem.
I tried to just change it in /var/chroot-ipsec/etc/ipsec.conf, but I can't get it working.
Because the command /var/chroot-ipsec/usr/local/sbin/ipsec auto --... is not working. We are using Astaro version 4.022.

Thanks a lot for your help,
Nils


2004-Aug 12 13:57:38 (none) pluto[18378]: "xxx" #8842: max number of retransmissions (2) reached STATE_MAIN_I3.  Possible authentication failure: no acceptable response to our first encrypted message
2004-Aug 12 13:57:38 (none) pluto[18378]: "xxx" #8842: starting keying attempt 1165 of an unlimited number
2004-Aug 12 13:57:38 (none) pluto[18378]: "xxx" #8850: initiating Main Mode to replace #8842
2004-Aug 12 13:57:38 (none) pluto[18378]: "xxx" #8850: ignoring Vendor ID payload [4048b7d56ebce885...]
2004-Aug 12 13:57:38 (none) pluto[18378]: "xxx" #8850: ignoring Vendor ID payload [Cisco-Unity]
2004-Aug 12 13:57:38 (none) pluto[18378]: "xxx" #8850: ignoring Vendor ID payload [XAUTH]
2004-Aug 12 13:57:38 (none) pluto[18378]: "xxx" #8850: ignoring Vendor ID payload [30c669e7a2b173c9...]
2004-Aug 12 13:57:38 (none) pluto[18378]: "xxx" #8850: ignoring Vendor ID payload [1f07f70eaa6514d3...]
2004-Aug 12 13:57:38 (none) pluto[18378]: "xxx" #8850: encrypted Informational Exchange message is invalid because it is for incomplete ISAKMP SA
2004-Aug 12 13:57:38 (none) pluto[18378]: "xxx" #8850: received Vendor ID payload [Dead Peer Detection]
2004-Aug 12 13:57:38 (none) pluto[18378]: "xxx" #8850: Main mode peer ID is ID_IPV4_ADDR: '10.227.191.52'
2004-Aug 12 13:57:38 (none) pluto[18378]: "xxx" #8850: we require peer to have ID '999.999.999.999', but peer declares '10.227.191.52'
2004-Aug 12 13:57:38 (none) pluto[18378]: "xxx" #8850: sending notification INVALID_ID_INFORMATION to 999.999.999.999:500


This thread was automatically locked due to age.
Parents
  • 0
    I saw your post and wanted to let you know that I am having the same issue trying to establish a site-to-site with a Cisco Concentrator.  The issue with the peer declaration (as far as I can tell) only occurs if the Cisco is behind a NAT.  The declaration is coming across properly, and if this was just a regular frees/wan install, you should be able to change the ipsec.conf file so that the rightid is that of the declared peer.  
    If you look at the ipsec.conf file there are two fields that deal with the IP address of the other end of the tunnel:
    "rightid" and "right". Astaro automatically configures both of these fields to whatever the remote endpoint's ip is set as, and any manual changes to ipsec.conf are overwritten as soon as the tunnel is re-enabled.  

    I have a call into support to see if anything can be done to remedy this, and will post results when I receive them!
  • 0 in reply to Comnet
    Thanks for your reply.
    I also talked to the Astaro support and they told me:

    there is no possibility to change the identifier for PSK. It is always the remote address. We only support the Main Mode of IPSec. In the Aggressive Mode it is possible to use another identifier, but it is not implemented in ASL. [:(]

    I know that it's working with regular frees/wan, because we where using this befor. But we don't want to go back.
Reply
  • 0 in reply to Comnet
    Thanks for your reply.
    I also talked to the Astaro support and they told me:

    there is no possibility to change the identifier for PSK. It is always the remote address. We only support the Main Mode of IPSec. In the Aggressive Mode it is possible to use another identifier, but it is not implemented in ASL. [:(]

    I know that it's working with regular frees/wan, because we where using this befor. But we don't want to go back.
Children
No Data
Cookie Information Banner