Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 977 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cant connect Roadwarrier with ASC Dyn. IP

frank75
Hi
I  have static IP at the asl. Made a CA with this IP and out it to local Keys. I made a CA with the IP4 Adress put it Remot `
Keys and insert the virtual IP (same like the KEY IP or).
When I connect I always cat the message "Client Error: Verify Certificate with error 2009 yet valid"
What did i wrong?
THX


This thread was automatically locked due to age.
Parents
  • 0
    OK, you created a CA for your ASL box using your static IP as the ID.

    Next create a user certificate.
    The VPN ID should be set to: X.509 DN
    Fill out the rest of the details and then create it.
    Next you have to issue this request a cert on the ASL.
    (Tick the cert then click the dropdown "Issue CERT from CSR")

    OK. Now download the cert as PKCS #12

    Now go to Remote keys, assign a virtual IP to the cert you just created.  (Hint: Use a different IP to any other you are using on the ASL system besides other roadwarriors)

    I use 192.168.100.X for my roadwarrior users.
    ie, Bobs Virtual IP is .100
    Charlies is .101 etc etc

    On the client side, point to the cert you downloaded.
    In the client config, set the virtual IP, (ie 192.168.100.101 or whatever u decided)

    On the ASL host, ensure the Connection properties has the certificate you created as allowed to use the VPN link).

    It's good to read the ASC_V8_Configuration_Guide.pdf
    This can be found at the Astaro docs site. (docs.astaro.org I think).

    (Though I think this document could be a little clearer, it's a bit of a confusing read). (Probably translation [;)]

    G'luck.
  • 0 in reply to Simon Shaw
    Ok I think my problem ist an wrong Certificate!
    The entries of the IP`s are correct!
    You told me to create a CA with the Fix Ip as ID but I don`t have an field "ID" for CA. only for  Host CA`s there is an field ID! Maybe I understood it wrong and you mean to create two  "Host CSRs and Certificates" one for the ASL Box with the Fix IP! right?

    And how to set the client certificate I created as allowed to use the VPN link?

    THX
    Frank :
  • 0 in reply to frank75
    Her my log:
    LOG des ASL

    Main mode peer ID is ID_DER_ASN1_DN: 'C=de, ST=Rheinland-Pfalz, L=Mainz, O=MF-Computer, OU=MF-Computer, CN=asl, E=xxx@web.de'
    2004:11:02-00:09:27 (none) pluto[3015]: "D_Roadwarriors_0"[2] 145.254.212.34 #2: Issuer CRL not found
    2004:11:02-00:09:27 (none) pluto[3015]: "D_Roadwarriors_0"[2] 145.254.212.34 #2: Issuer CRL not found
    2004:11:02-00:09:27 (none) pluto[3015]: "D_Roadwarriors_0"[2] 145.254.212.34 #2: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3
    2004:11:02-00:09:27 (none) pluto[3015]: "D_Roadwarriors_0"[2] 145.254.212.34 #2: sent MR3, ISAKMP SA established
    2004:11:02-00:09:27 (none) pluto[3015]: "D_Roadwarriors_0"[2] 145.254.212.34 #2: received Delete SA payload: deleting ISAKMP State #2
    2004:11:02-00:09:27 (none) pluto[3015]: "D_Roadwarriors_0"[2] 145.254.212.34: deleting connection "D_Roadwarriors_0" instance with peer 145.254.212.34
    2004:11:02-00:09:27 (none) pluto[3015]: packet from 145.254.212.34:500: received and ignored informational message
    2004:11:02-00:09:36 (none) pluto[3015]: "D_Roadwarriors_0"[1] 145.254.221.108 #1: max number of retransmissions (2) reached STATE_MAIN_R2
    2004:11:02-00:09:36 (none) pluto[3015]: "D_Roadwarriors_0"[1] 145.254.221.108: deleting connection "D_Roadwarriors_0" instance with peer 145.254.221.108

    Und der des ASC
    01.11.2004 22:01:25  NCPIKE-phase1:name(no-q) - error - PKI ERROR: -  Client Error: Verify Certificate with error 2009 ! (certificate is not yet valid)
    01.11.2004 22:01:25  
    01.11.2004 22:01:25  NCPIKE-phase2:name(no-q) - error - cleared by phase1
    01.11.2004 22:01:25  IPSDIAL  - disconnected from no-q on channel 1.
    01.11.2004 22:01:25  RAS  - trennen von no-q auf Kanal 1.
Reply
  • 0 in reply to frank75
    Her my log:
    LOG des ASL

    Main mode peer ID is ID_DER_ASN1_DN: 'C=de, ST=Rheinland-Pfalz, L=Mainz, O=MF-Computer, OU=MF-Computer, CN=asl, E=xxx@web.de'
    2004:11:02-00:09:27 (none) pluto[3015]: "D_Roadwarriors_0"[2] 145.254.212.34 #2: Issuer CRL not found
    2004:11:02-00:09:27 (none) pluto[3015]: "D_Roadwarriors_0"[2] 145.254.212.34 #2: Issuer CRL not found
    2004:11:02-00:09:27 (none) pluto[3015]: "D_Roadwarriors_0"[2] 145.254.212.34 #2: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3
    2004:11:02-00:09:27 (none) pluto[3015]: "D_Roadwarriors_0"[2] 145.254.212.34 #2: sent MR3, ISAKMP SA established
    2004:11:02-00:09:27 (none) pluto[3015]: "D_Roadwarriors_0"[2] 145.254.212.34 #2: received Delete SA payload: deleting ISAKMP State #2
    2004:11:02-00:09:27 (none) pluto[3015]: "D_Roadwarriors_0"[2] 145.254.212.34: deleting connection "D_Roadwarriors_0" instance with peer 145.254.212.34
    2004:11:02-00:09:27 (none) pluto[3015]: packet from 145.254.212.34:500: received and ignored informational message
    2004:11:02-00:09:36 (none) pluto[3015]: "D_Roadwarriors_0"[1] 145.254.221.108 #1: max number of retransmissions (2) reached STATE_MAIN_R2
    2004:11:02-00:09:36 (none) pluto[3015]: "D_Roadwarriors_0"[1] 145.254.221.108: deleting connection "D_Roadwarriors_0" instance with peer 145.254.221.108

    Und der des ASC
    01.11.2004 22:01:25  NCPIKE-phase1:name(no-q) - error - PKI ERROR: -  Client Error: Verify Certificate with error 2009 ! (certificate is not yet valid)
    01.11.2004 22:01:25  
    01.11.2004 22:01:25  NCPIKE-phase2:name(no-q) - error - cleared by phase1
    01.11.2004 22:01:25  IPSDIAL  - disconnected from no-q on channel 1.
    01.11.2004 22:01:25  RAS  - trennen von no-q auf Kanal 1.
Children
Cookie Information Banner