Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 1 subscriber
  • Views 836 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASL <-> CyberGuard Site-To-Site VPN fails

EdA
hi,

i am having problems connecting to a CyberGuard FW from the Astaro 5.x ( latest patch installed ).

Here some infos:

+++++++++++++++++++++++++++++++++
IPSec System Information    
   
VPN Status: 

000  
000 "S_Test_VPN_Connection_0": 192.168.1.0/24===xxx.xxx.xxx.133...xxx.xxx.xxx.20===192.168.2.0/24
000 "S_Test_VPN_Connection_0":   CAs: '%any'...'%any'
000 "S_Test_VPN_Connection_0":   ike_life: 28800s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "S_Test_VPN_Connection_0":   policy: PSK+ENCRYPT+TUNNEL+PFS; interface: eth7; unrouted
000 "S_Test_VPN_Connection_0":   newest ISAKMP SA: #1; newest IPsec SA: #0; eroute owner: #0
000 "S_Test_VPN_Connection_0":   IKE algorithms wanted: 5_000-1-2, flags=-strict
000 "S_Test_VPN_Connection_0":   IKE algorithms found:  5_192-1_128-2, 
000 "S_Test_VPN_Connection_0":   IKE algorithm newest: 3DES_CBC_192-MD5-MODP1024
000 "S_Test_VPN_Connection_0":   ESP algorithms wanted: 3_000-1, ; pfsgroup=2; flags=-strict
000 "S_Test_VPN_Connection_0":   ESP algorithms loaded: 3_168-1_128, 
000  
000 #3: "S_Test_VPN_Connection_0" STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 28s
000 #1: "S_Test_VPN_Connection_0" STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 28099s; newest ISAKMP
000  

+++++++++++++++++++++++++++++++++

Further here a log from the IKE Debug log:

+++++++++++++++++++++++++++++++++
.....
2004:10:22-16:50:20 (none) pluto[658]: | length: 20
2004:10:22-16:50:20 (none) pluto[658]: | ***parse ISAKMP Notification Payload:
2004:10:22-16:50:20 (none) pluto[658]: | next payload type: ISAKMP_NEXT_NONE
2004:10:22-16:50:20 (none) pluto[658]: | length: 28
2004:10:22-16:50:20 (none) pluto[658]: | DOI: ISAKMP_DOI_IPSEC
2004:10:22-16:50:20 (none) pluto[658]: | protocol ID: 3
2004:10:22-16:50:20 (none) pluto[658]: | SPI size: 4
2004:10:22-16:50:20 (none) pluto[658]: | Notify Message Type: NO_PROPOSAL_CHOSEN
2004:10:22-16:50:20 (none) pluto[658]: "S_Test_VPN_Connection_0" #1: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2004:10:22-16:50:20 (none) pluto[658]: | info: 1c 1c 66 07 80 0c 00 01 00 08 00 04 ce cd 07 c6
2004:10:22-16:50:20 (none) pluto[658]: "S_Test_VPN_Connection_0" #1: received and ignored informational message
2004:10:22-16:50:20 (none) pluto[658]: | next event EVENT_RETRANSMIT in 40 seconds for #13
2004:10:22-16:51:00 (none) pluto[658]: | 
2004:10:22-16:51:00 (none) pluto[658]: | *time to handle event
2004:10:22-16:51:00 (none) pluto[658]: | event after this is EVENT_SHUNT_SCAN in 0 seconds
2004:10:22-16:51:00 (none) pluto[658]: | handling event EVENT_RETRANSMIT for xxx.xxx.xxx.20 "S_Test_VPN_Connection_0" #13
2004:10:22-16:51:00 (none) pluto[658]: "S_Test_VPN_Connection_0" #13: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
2004:10:22-16:51:00 (none) pluto[658]: "S_Test_VPN_Connection_0" #13: starting keying attempt 13 of an unlimited number
2004:10:22-16:51:00 (none) pluto[658]: | duplicating state object #1
2004:10:22-16:51:00 (none) pluto[658]: | creating state object #14 at 0x80ee518
2004:10:22-16:51:00 (none) pluto[658]: | ICOOKIE: ae 84 ae 7c a2 0e c0 e6
2004:10:22-16:51:00 (none) pluto[658]: | RCOOKIE: fa 83 09 49 fd 00 03 27
2004:10:22-16:51:00 (none) pluto[658]: | peer: c2 3b ac 14
2004:10:22-16:51:00 (none) pluto[658]: | state hash entry 11
2004:10:22-16:51:00 (none) pluto[658]: | inserting event EVENT_SO_DISCARD, timeout in 0 seconds for #14
2004:10:22-16:51:00 (none) pluto[658]: "S_Test_VPN_Connection_0" #14: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS to replace #13
2004:10:22-16:51:00 (none) pluto[658]: | **emit ISAKMP Message:
2004:10:22-16:51:00 (none) pluto[658]: | initiator cookie:
2004:10:22-16:51:00 (none) pluto[658]: | ae 84 ae 7c a2 0e c0 e6
2004:10:22-16:51:00 (none) pluto[658]: | responder cookie:
2004:10:22-16:51:00 (none) pluto[658]: | fa 83 09 49 fd 00 03 27
2004:10:22-16:51:00 (none) pluto[658]: | next payload type: ISAKMP_NEXT_HASH
2004:10:22-16:51:00 (none) pluto[658]: | ISAKMP version: ISAKMP Version 1.0
2004:10:22-16:51:00 (none) pluto[658]: | exchange type: ISAKMP_XCHG_QUICK
2004:10:22-16:51:00 (none) pluto[658]: | flags: ISAKMP_FLAG_ENCRYPTION
2004:10:22-16:51:00 (none) pluto[658]: | message ID: b0 85 81 3e
2004:10:22-16:51:00 (none) pluto[658]: | ***emit ISAKMP Hash Payload:
2004:10:22-16:51:00 (none) pluto[658]: | next payload type: ISAKMP_NEXT_SA
2004:10:22-16:51:00 (none) pluto[658]: | emitting 16 zero bytes of HASH into ISAKMP Hash Payload
2004:10:22-16:51:00 (none) pluto[658]: | emitting length of ISAKMP Hash Payload: 20
2004:10:22-16:51:00 (none) pluto[658]: | ***emit ISAKMP Security Association Payload:
2004:10:22-16:51:00 (none) pluto[658]: | next payload type: ISAKMP_NEXT_NONCE
2004:10:22-16:51:00 (none) pluto[658]: | DOI: ISAKMP_DOI_IPSEC
2004:10:22-16:51:00 (none) pluto[658]: | ****emit IPsec DOI SIT:
2004:10:22-16:51:00 (none) pluto[658]: | IPsec DOI SIT: SIT_IDENTITY_ONLY
2004:10:22-16:51:00 (none) pluto[658]: | 3_000-1, ; pfsgroup=2; flags=-strict
2004:10:22-16:51:00 (none) pluto[658]: | kernel_alg_db_prop_new() initial trans_cnt=48
2004:10:22-16:51:00 (none) pluto[658]: | kernel_alg_db_prop_new() will return p_new->protoid=3, p_new->trans_cnt=1
2004:10:22-16:51:00 (none) pluto[658]: | kernel_alg_db_prop_new() trans[0]: transid=3, attr_cnt=1, attrs[0].type=5, attrs[0].val=1
2004:10:22-16:51:00 (none) pluto[658]: | ****emit ISAKMP Proposal Payload:
2004:10:22-16:51:00 (none) pluto[658]: | next payload type: ISAKMP_NEXT_NONE
2004:10:22-16:51:00 (none) pluto[658]: | proposal number: 0
2004:10:22-16:51:00 (none) pluto[658]: | protocol ID: PROTO_IPSEC_ESP
2004:10:22-16:51:00 (none) pluto[658]: | SPI size: 4
2004:10:22-16:51:00 (none) pluto[658]: | number of transforms: 1
2004:10:22-16:51:00 (none) pluto[658]: | generate SPI: 1c 1c 66 08
2004:10:22-16:51:00 (none) pluto[658]: | emitting 4 raw bytes of SPI into ISAKMP Proposal Payload
2004:10:22-16:51:00 (none) pluto[658]: | SPI 1c 1c 66 08
2004:10:22-16:51:00 (none) pluto[658]: | *****emit ISAKMP Transform Payload (ESP):
2004:10:22-16:51:00 (none) pluto[658]: | next payload type: ISAKMP_NEXT_NONE
2004:10:22-16:51:00 (none) pluto[658]: | transform number: 0
2004:10:22-16:51:00 (none) pluto[658]: | transform ID: ESP_3DES
2004:10:22-16:51:00 (none) pluto[658]: | ******emit ISAKMP IPsec DOI attribute:
2004:10:22-16:51:00 (none) pluto[658]: | af+type: GROUP_DESCRIPTION
2004:10:22-16:51:00 (none) pluto[658]: | length/value: 2
2004:10:22-16:51:00 (none) pluto[658]: | [2 is OAKLEY_GROUP_MODP1024]
2004:10:22-16:51:00 (none) pluto[658]: | ******emit ISAKMP IPsec DOI attribute:
2004:10:22-16:51:00 (none) pluto[658]: | af+type: ENCAPSULATION_MODE
2004:10:22-16:51:00 (none) pluto[658]: | length/value: 1
2004:10:22-16:51:00 (none) pluto[658]: | [1 is ENCAPSULATION_MODE_TUNNEL]
2004:10:22-16:51:00 (none) pluto[658]: | ******emit ISAKMP IPsec DOI attribute:
2004:10:22-16:51:00 (none) pluto[658]: | af+type: SA_LIFE_TYPE
2004:10:22-16:51:00 (none) pluto[658]: | length/value: 1
2004:10:22-16:51:00 (none) pluto[658]: | [1 is SA_LIFE_TYPE_SECONDS]
2004:10:22-16:51:00 (none) pluto[658]: | ******emit ISAKMP IPsec DOI attribute:
2004:10:22-16:51:00 (none) pluto[658]: | af+type: SA_LIFE_DURATION
2004:10:22-16:51:00 (none) pluto[658]: | length/value: 28800
2004:10:22-16:51:00 (none) pluto[658]: | ******emit ISAKMP IPsec DOI attribute:
2004:10:22-16:51:00 (none) pluto[658]: | af+type: AUTH_ALGORITHM
2004:10:22-16:51:00 (none) pluto[658]: | length/value: 1
2004:10:22-16:51:00 (none) pluto[658]: | [1 is AUTH_ALGORITHM_HMAC_MD5]
2004:10:22-16:51:00 (none) pluto[658]: | emitting length of ISAKMP Transform Payload (ESP): 28
2004:10:22-16:51:00 (none) pluto[658]: | emitting length of ISAKMP Proposal Payload: 40
2004:10:22-16:51:00 (none) pluto[658]: | emitting length of ISAKMP Security Association Payload: 52
2004:10:22-16:51:00 (none) pluto[658]: | ***emit ISAKMP Nonce Payload:
2004:10:22-16:51:00 (none) pluto[658]: | next payload type: ISAKMP_NEXT_KE
2004:10:22-16:51:00 (none) pluto[658]: | emitting 16 raw bytes of Ni into ISAKMP Nonce Payload
2004:10:22-16:51:00 (none) pluto[658]: | Ni b6 aa d5 4e aa 51 32 d7 d3 e2 a7 de 84 a2 20 ff
2004:10:22-16:51:00 (none) pluto[658]: | emitting length of ISAKMP Nonce Payload: 20
2004:10:22-16:51:00 (none) pluto[658]: | ***emit ISAKMP Key Exchange Payload:
2004:10:22-16:51:00 (none) pluto[658]: | next payload type: ISAKMP_NEXT_ID
2004:10:22-16:51:00 (none) pluto[658]: | emitting 128 raw bytes of keyex value into ISAKMP Key Exchange Payload
2004:10:22-16:51:00 (none) pluto[658]: | keyex value 68 90 fa 24 2b 96 66 e1 e9 6c 05 bc 91 38 16 21
.....
2004:10:22-16:51:00 (none) pluto[658]: | ff 32 d0 00 ff a8 67 3f 16 b6 13 22 44 ce 04 41
2004:10:22-16:51:00 (none) pluto[658]: | emitting length of ISAKMP Key Exchange Payload: 132
2004:10:22-16:51:00 (none) pluto[658]: | ***emit ISAKMP Identification Payload (IPsec DOI):
2004:10:22-16:51:00 (none) pluto[658]: | next payload type: ISAKMP_NEXT_ID
2004:10:22-16:51:00 (none) pluto[658]: | ID type: ID_IPV4_ADDR_SUBNET
2004:10:22-16:51:00 (none) pluto[658]: | Protocol ID: 0
2004:10:22-16:51:00 (none) pluto[658]: | port: 0
2004:10:22-16:51:00 (none) pluto[658]: | emitting 4 raw bytes of client network into ISAKMP Identification Payload (IPsec DOI)
2004:10:22-16:51:00 (none) pluto[658]: | client network c0 a8 05 00
2004:10:22-16:51:00 (none) pluto[658]: | emitting 4 raw bytes of client mask into ISAKMP Identification Payload (IPsec DOI)
2004:10:22-16:51:00 (none) pluto[658]: | client mask ff ff ff 00
2004:10:22-16:51:00 (none) pluto[658]: | emitting length of ISAKMP Identification Payload (IPsec DOI): 16
2004:10:22-16:51:00 (none) pluto[658]: | ***emit ISAKMP Identification Payload (IPsec DOI):
2004:10:22-16:51:00 (none) pluto[658]: | next payload type: ISAKMP_NEXT_NONE
2004:10:22-16:51:00 (none) pluto[658]: | ID type: ID_IPV4_ADDR_SUBNET
2004:10:22-16:51:00 (none) pluto[658]: | Protocol ID: 0
2004:10:22-16:51:00 (none) pluto[658]: | port: 0
2004:10:22-16:51:00 (none) pluto[658]: | emitting 4 raw bytes of client network into ISAKMP Identification Payload (IPsec DOI)
2004:10:22-16:51:00 (none) pluto[658]: | client network c0 a8 cd 00
2004:10:22-16:51:00 (none) pluto[658]: | emitting 4 raw bytes of client mask into ISAKMP Identification Payload (IPsec DOI)
2004:10:22-16:51:00 (none) pluto[658]: | client mask ff ff ff 00
2004:10:22-16:51:00 (none) pluto[658]: | emitting length of ISAKMP Identification Payload (IPsec DOI): 16
2004:10:22-16:51:00 (none) pluto[658]: | emitting length of ISAKMP Message: 284
2004:10:22-16:51:00 (none) pluto[658]: | inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #14
2004:10:22-16:51:00 (none) pluto[658]: | next event EVENT_SHUNT_SCAN in 0 seconds
2004:10:22-16:51:00 (none) pluto[658]: | 
2004:10:22-16:51:00 (none) pluto[658]: | *time to handle event
2004:10:22-16:51:00 (none) pluto[658]: | event after this is EVENT_RETRANSMIT in 10 seconds
2004:10:22-16:51:00 (none) pluto[658]: | inserting event EVENT_SHUNT_SCAN, timeout in 120 seconds
2004:10:22-16:51:00 (none) pluto[658]: | scanning for shunt eroutes
2004:10:22-16:51:00 (none) pluto[658]: | next event EVENT_RETRANSMIT in 10 seconds for #14
2004:10:22-16:51:00 (none) pluto[658]: | 
2004:10:22-16:51:00 (none) pluto[658]: | *received 76 bytes from xxx.xxx.xxx.20:500 on eth7
2004:10:22-16:51:00 (none) pluto[658]: | **parse ISAKMP Message:
2004:10:22-16:51:00 (none) pluto[658]: | initiator cookie:
2004:10:22-16:51:00 (none) pluto[658]: | ae 84 ae 7c a2 0e c0 e6
2004:10:22-16:51:00 (none) pluto[658]: | responder cookie:
2004:10:22-16:51:00 (none) pluto[658]: | fa 83 09 49 fd 00 03 27
2004:10:22-16:51:00 (none) pluto[658]: | next payload type: ISAKMP_NEXT_HASH
2004:10:22-16:51:00 (none) pluto[658]: | ISAKMP version: ISAKMP Version 1.0
2004:10:22-16:51:00 (none) pluto[658]: | exchange type: ISAKMP_XCHG_INFO
2004:10:22-16:51:00 (none) pluto[658]: | flags: ISAKMP_FLAG_ENCRYPTION
2004:10:22-16:51:00 (none) pluto[658]: | message ID: 75 2a 78 80
2004:10:22-16:51:00 (none) pluto[658]: | length: 76
2004:10:22-16:51:00 (none) pluto[658]: | The xchg type is ISAKMP_XCHG_INFO (5)
2004:10:22-16:51:00 (none) pluto[658]: | ICOOKIE: ae 84 ae 7c a2 0e c0 e6
2004:10:22-16:51:00 (none) pluto[658]: | RCOOKIE: fa 83 09 49 fd 00 03 27
2004:10:22-16:51:00 (none) pluto[658]: | peer: c2 3b ac 14
2004:10:22-16:51:00 (none) pluto[658]: | state hash entry 11
2004:10:22-16:51:00 (none) pluto[658]: | peer and cookies match, provided msgid 00000000 vs b085813e
2004:10:22-16:51:00 (none) pluto[658]: | peer and cookies match, provided msgid 00000000 vs 00000000
2004:10:22-16:51:00 (none) pluto[658]: | state object #1 found, in STATE_MAIN_I4
2004:10:22-16:51:00 (none) pluto[658]: | ***parse ISAKMP Hash Payload:
2004:10:22-16:51:00 (none) pluto[658]: | next payload type: ISAKMP_NEXT_N
2004:10:22-16:51:00 (none) pluto[658]: | length: 20
2004:10:22-16:51:00 (none) pluto[658]: | ***parse ISAKMP Notification Payload:
2004:10:22-16:51:00 (none) pluto[658]: | next payload type: ISAKMP_NEXT_NONE
2004:10:22-16:51:00 (none) pluto[658]: | length: 28
2004:10:22-16:51:00 (none) pluto[658]: | DOI: ISAKMP_DOI_IPSEC
2004:10:22-16:51:00 (none) pluto[658]: | protocol ID: 3
2004:10:22-16:51:00 (none) pluto[658]: | SPI size: 4
2004:10:22-16:51:00 (none) pluto[658]: | Notify Message Type: NO_PROPOSAL_CHOSEN
2004:10:22-16:51:00 (none) pluto[658]: "S_Test_VPN_Connection_0" #1: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2004:10:22-16:51:00 (none) pluto[658]: | info: 1c 1c 66 08 80 0c 00 01 00 08 00 04 b0 85 81 3e
2004:10:22-16:51:00 (none) pluto[658]: "S_Test_VPN_Connection_0" #1: received and ignored informational message
2004:10:22-16:51:00 (none) pluto[658]: | next event EVENT_RETRANSMIT in 10 seconds for #14
2004:10:22-16:51:10 (none) pluto[658]: | 
2004:10:22-16:51:10 (none) pluto[658]: | *time to handle event
2004:10:22-16:51:10 (none) pluto[658]: | event after this is EVENT_SHUNT_SCAN in 110 seconds
2004:10:22-16:51:10 (none) pluto[658]: | handling event EVENT_RETRANSMIT for xxx.xxx.xxx.20 "S_Test_VPN_Connection_0" #14
2004:10:22-16:51:10 (none) pluto[658]: | inserting event EVENT_RETRANSMIT, timeout in 20 seconds for #14
2004:10:22-16:51:10 (none) pluto[658]: | next event EVENT_RETRANSMIT in 20 seconds for #14
....
+++++++++++++++++++++++++++++++++


Any clue what is going on ?!

We have checked alle parameters within the policy ... so far no luck.

Thanks for any input on this matter.

Cheers
Ed


This thread was automatically locked due to age.
Parents
  • 0
     [:S]
    Found the problem ... but I have no clue why it does not work as described in the guide ( http://docs.astaro.org/howtos/IPSec_Net2Net_VPN_PSK_Guidebook.pdf ).

    I have removed the entries in the "Subnet definition" in the IPSec Connection Settings Page.  As soon as I define a value ( also as described in the guide ) the tunnel will not come up. If setting the values to ::NONE:: everything works and the tunnle connects.

    I am going for SNAT and "strict routing" set to off.

    Seems to work now.

    Any clue why it does not work with the "subnet definition" ?!

    Thx
    Ed
Reply
  • 0
     [:S]
    Found the problem ... but I have no clue why it does not work as described in the guide ( http://docs.astaro.org/howtos/IPSec_Net2Net_VPN_PSK_Guidebook.pdf ).

    I have removed the entries in the "Subnet definition" in the IPSec Connection Settings Page.  As soon as I define a value ( also as described in the guide ) the tunnel will not come up. If setting the values to ::NONE:: everything works and the tunnle connects.

    I am going for SNAT and "strict routing" set to off.

    Seems to work now.

    Any clue why it does not work with the "subnet definition" ?!

    Thx
    Ed
Children
No Data
Cookie Information Banner