VPN over PPPoE with Cisco 806 and pre-shared keys?

  ...maybe this would help .. 

greetz
 Claus

Thx, but that didn't help me much. There is still no connection between my cisco and the asl. The asl configuration is okay. So it must be the cisco config.

Thx, but that didn't help me much. There is still no connection between my cisco and the asl. The asl configuration is okay. So it must be the cisco config.

Please read the pdf once again ! [;)]

Cisco IOS IPSec implementation uses PFS group 1 (DH 768 bit) by default. Plz, also check the parameter lifetime.

Crypto map on int eth0 ?

I have set the pfs group on my cisco to group 2 and also checked the lifetime params.  But it doesn't work for me. Maybe I'm too stupid to get it working. :-(
Is it important to configure the loopback device?

crypto map name local-address interface

"Creates a crypto map, and specifies and names an identifying interface to be used by the crypto map for IPSec traffic"

 [ QUOTE ]
 Is it important to configure the loopback device? 

[/ QUOTE ]  No.

What is the output of  "debug crypto isakmp" ?

[ QUOTE ]
What is the output of  "debug crypto isakmp" ? 

[/ QUOTE ]
It only tells me that debugging is on for isakmp. 
I think the problem is that the cisco doesn't try to bring up the vpn connection. Maybe a mistake in the routing configuration or in the access list? I really don't know whats the mistake. I'm working on it for nearly a week.... without any success! :'(

Can anyone name the mistake in the following config?

Code:

---

!
version 12.2
!
hostname helios
!
no snmp-server
no service pad
no service timestamps
no service tcp-small-servers
no service udp-small-servers
logging buffered 16834
no logging console
no logging monitor
no ip source-route
no ip http server
no ip bootp server
!
service timestamps debug uptime
service timestamps log datetime localtime show-timezone
service password-encryption
!
username USERNAME password PASSWORD
enable secret PASSWORD
!
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
ip name-server 194.246.96.79
ip name-server 194.246.96.49
ip name-server 62.72.64.237
ip name-server 62.72.64.241
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
ip subnet-zero
!
ip dhcp excluded-address 192.168.0.1
ip dhcp excluded-address 192.168.0.2
ip dhcp excluded-address 192.168.0.3
!
!
ip dhcp pool CLIENT1
   host 192.168.0.2 255.255.255.240
   client-identifier 0100.6008.7cdb.ca
   client-name hermes
!
!
ip dhcp pool CLIENT2
   host 192.168.0.3 255.255.255.240
   client-identifier 0100.104b.8ac0.90
   client-name artemis
!
!
ip dhcp pool LAN
   import all
   network 192.168.0.0 255.255.255.240
   default-router 192.168.0.1 
   dns-server 194.246.96.79
   domain-name MYDOMAIN
   lease 0 2
!
ip cef
!
ip inspect name firewall cuseeme timeout 3600
ip inspect name firewall ftp timeout 3600
ip inspect name firewall http java-list 1 alert on audit-trail on timeout 3600
ip inspect name firewall rcmd timeout 3600
ip inspect name firewall realaudio timeout 3600
ip inspect name firewall smtp timeout 3600
ip inspect name firewall tftp timeout 30
ip inspect name firewall udp timeout 15
ip inspect name firewall tcp timeout 3600
ip inspect name firewall h323 timeout 3600
!
vpdn enable
!
vpdn-group 1
 request-dialin
  protocol pppoe
 ip mtu adjust
!
!
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 3600
crypto isakmp key MY-KEY address 10.0.0.99
!
crypto ipsec security-association lifetime seconds 7200
!
crypto ipsec transform-set vpn-office-set esp-3des esp-md5-hmac
crypto mib ipsec flowmib history tunnel size 200
crypto mib ipsec flowmib history failure size 200
!
crypto map vpn-office local-address Dialer1
crypto map vpn-office 10 ipsec-isakmp
 set peer 10.0.0.99
 set transform-set vpn-office-set
 set pfs group2
 match address 102
!
!
!
interface Ethernet0
 description Verbindung zum internen LAN
 ip address 192.168.0.1 255.255.255.240
 no ip directed-broadcast
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip tcp adjust-mss 1452
 no ip mroute-cache
 no cdp enable
 hold-queue 32 in
 hold-queue 100 out
!
!
interface Ethernet1
 description Verbindung zum DSL-Anschluss
 no ip address
 ip nat inside
 pppoe enable
 pppoe-client dial-pool-number 1
 no ip directed-broadcast
 no cdp enable
!
!
interface Dialer1
 description Stellt die DSL-Verbindung her
 ip address negotiated
 ip access-group 100 in
 ip mtu 1492
 ip nat outside
 ip inspect firewall out
 encapsulation ppp
 ip tcp adjust-mss 1452
 no ip mroute-cache
 dialer pool 1
 dialer-group 1
 no ip directed-broadcast
 no cdp enable
 ppp authentication chap pap callin
 ppp chap hostname USERNAME
 ppp chap password PASSWORD
 ppp pap sent-username USERNAME password PASSWORD
 ppp ipcp dns request
 ppp ipcp wins request
 crypto map vpn-office
!
!
!
ip nat inside source route-map outside-vpn interface Dialer1 overload
ip nat inside source static tcp 192.168.0.1 22 interface Dialer1 22
!
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip pim bidir-enable
!
!
access-list 1 remark --------------------------------------------------
access-list 1 remark ------- ACL 1 - gesamten Traffic zulassen --------
access-list 1 remark --------------------------------------------------
access-list 1 permit any
!
access-list 100 remark ------------------------------------------------
access-list 100 remark -------- ACL 100 - eingehender Traffic ---------
access-list 100 remark ------------------------------------------------
access-list 100 permit udp any eq domain any
access-list 100 permit tcp any any established
access-list 100 permit tcp any any eq 22
access-list 100 remark ------------------------------------------------
access-list 100 remark -------------- PING-Einstellungen --------------
access-list 100 remark ------------------------------------------------
access-list 100 permit icmp any any administratively-prohibited
access-list 100 permit icmp any any echo
access-list 100 permit icmp any any echo-reply
access-list 100 permit icmp any any packet-too-big
access-list 100 permit icmp any any time-exceeded
access-list 100 permit icmp any any traceroute
access-list 100 permit icmp any any unreachable
access-list 100 remark ------------------------------------------------
access-list 100 remark ------------ Traffic für VPN / PPTP ------------
access-list 100 remark ------------------------------------------------
access-list 100 permit gre any any
access-list 100 permit esp any any
access-list 100 permit udp any any eq isakmp
access-list 100 permit udp any any eq 1723
access-list 100 permit tcp any any eq 1723
access-list 100 remark ------------------------------------------------
access-list 100 remark ----------------- Anti-spoofing ----------------
access-list 100 remark ------------------------------------------------
access-list 100 deny ip 10.0.0.0 0.255.255.255 any log
access-list 100 deny ip 127.0.0.0 0.255.255.255 any log
access-list 100 deny ip 169.254.0.0 0.0.255.255 any log
access-list 100 deny ip 172.16.0.0 0.15.255.255 any log
access-list 100 deny ip 192.168.0.0 0.0.255.255 any log
access-list 100 deny ip 224.0.0.0 15.255.255.255 any log
access-list 100 deny ip host 0.0.0.0 any log
access-list 100 remark ------------------------------------------------
access-list 100 remark --- Nicht explizit zugelassene Ports sperren ---
access-list 100 remark ------------------------------------------------
access-list 100 deny icmp any any redirect log
access-list 100 deny udp any range 1 65535 any range 1 65535 log
access-list 100 deny tcp any range 1 65535 any range 1 65535 log
access-list 100 deny ip any any log
!
access-list 101 remark ------------------------------------------------
access-list 101 remark -------- ACL 101 - ausgehender Traffic ---------
access-list 101 remark ------------------------------------------------
access-list 101 deny   ip 192.168.0.0 0.0.0.255 192.168.11.0 0.0.0.255
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
access-list 101 permit udp any eq domain any
access-list 101 permit tcp any any established
access-list 101 remark ------------------------------------------------
access-list 101 remark -------------- PING-Einstellungen --------------
access-list 101 remark ------------------------------------------------
access-list 101 permit icmp any any administratively-prohibited
access-list 101 permit icmp any any echo
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any packet-too-big
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any traceroute
access-list 101 permit icmp any any unreachable
access-list 101 remark ------------------------------------------------
access-list 101 remark -------- FTP, E-Mail und Browser Ports ---------
access-list 101 remark ------------------------------------------------
access-list 101 permit tcp any any eq 22
access-list 101 permit tcp any any eq ftp
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any any eq pop3
access-list 101 permit tcp any any eq 143
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 443
access-list 101 remark ------------------------------------------------
access-list 101 remark ------------ Traffic für VPN / PPTP ------------
access-list 101 remark ------------------------------------------------
access-list 101 permit gre any any
access-list 101 permit esp any any
access-list 101 permit udp any any eq isakmp
access-list 101 permit udp any any eq 1723
access-list 101 permit tcp any any eq 1723
access-list 101 remark ------------------------------------------------
access-list 101 remark --- Nicht explizit zugelassene Ports sperren ---
access-list 101 remark ------------------------------------------------
access-list 101 deny icmp any any redirect log
access-list 101 deny udp any range 1 65535 any range 1 65535 log
access-list 101 deny tcp any range 1 65535 any range 1 65535 log
access-list 101 deny ip any any log
!
access-list 102 remark ------------------------------------------------
access-list 102 remark ------ ACL 102 - VPN mit Office NRW-Online -----
access-list 102 remark ------------------------------------------------
access-list 102 permit ip 192.168.0.0 0.0.0.255 192.168.11.0 0.0.0.255
access-list 102 deny   ip 192.168.0.0 0.0.0.255 any
!
dialer-list 1 protocol ip permit
route-map outside-vpn permit 10
 match ip address 101
!
no cdp run
!
line con 0
 exec-timeout 120 0
 login local
 stopbits 1
!
!
line vty 0 4
 access-class 1 in
 exec-timeout 120 0
 login local
 length 0
 transport input ssh
 escape-character 27
!
scheduler max-task-time 5000
!
!
ntp clock-period 17179869
ntp server 192.53.103.103
ntp server 192.53.103.104
ntp server 212.46.111.3
ntp server 130.149.17.8
!
end 

---

 [ QUOTE ]
  [ QUOTE ]
 What is the output of "debug crypto isakmp" ?  

[/ QUOTE ] It only tells me that debugging is on for isakmp. 

[/ QUOTE ]  

okay, look at your config because you've disabled console logging (no logging console) at the beginning. Enable it an you will see what you need for troubleshooting.

Or you can use  'show log'

 [ QUOTE ]
 crypto isakmp key MY-KEY address 10.0.0.99
set peer 10.0.0.99 

[/ QUOTE ] 

Is this the correct address of your Astaro VPN Interface or do you just want to hide it ? This address isn't reachable....

[ QUOTE ]
 okay, look at your config because you've disabled console logging (no logging console) at the beginning. Enable it an you will see what you need for troubleshooting.

[/ QUOTE ]  In the posted config logging console was disabled, but on my cisco it's enabled and it only tells me about denied packets from the internet (on acl 100) and a few denied packets from inside LAN (ACL 101). There is no output about the crypto map or something like this.

[ QUOTE ]

 [ QUOTE ]
 crypto isakmp key MY-KEY address 10.0.0.99
set peer 10.0.0.99 

[/ QUOTE ] 
Is this the correct address of your Astaro VPN Interface or do you just want to hide it ? This address isn't reachable.... 

[/ QUOTE ]
Surely isn't this the real ip. Would you post the ip of your office asl in a forum anywhere on the internet??? I think you won't do. But believe me, the mistake is not the peers ip. It must be something else.

Last moment I'm wasting any time in solving a problem with no logging information... it seems that there are some typo mistakes.One or two octets of public ip's could be marked with XXX.
[ QUOTE ]
 [ QUOTE ]
 [ QUOTE ]
 crypto isakmp key MY-KEY address 10.0.0.99
set peer 10.0.0.99  

[/ QUOTE ]  Is this the correct address of your Astaro VPN Interface or do you just want to hide it ? This address isn't reachable....   

[/ QUOTE ]  Surely isn't this the real ip. Would you post the ip of your office asl in a forum anywhere on the internet??? I think you won't do. But believe me, the mistake is not the peers ip. It must be something else. 

[/ QUOTE ] 
....and what is this ?
 [ QUOTE ]
 access-list 102 remark ------------------------------------------------access-list 102 remark ------ ACL 102 - VPN mit Office NRW-Online -----access-list 102 remark ------------------------------------------------access-list 102 permit ip 192.168.0.0 0.0.0.255 212.46.110.0 0.0.0.255 

[/ QUOTE ] 

PLEASE CHECK YOUR IP-RANGE THAT YOU've BEEN ASSIGNED BY NCORE !!! RIPE says 212.46.111.0 and not 212.46.110.0 !

Für mich ist der Thread hiermit beendet, da ich kein Hellseher bin. 

Der Herr spricht also Deutsch. Und ich quäl mich mit Englisch rum. Na super!

Also.... die 212.46.110.0 ist das Office-interne Netz. Die Ziel-IP des Peers ist eine 213.9.XXX.XXX. 

Und das Logging sagt mit lediglich, dass Zugriffe von irgendwelchen 80.XXX.XXX.XXXer, 217.XXX.XXX.XXXer und 67.XXX.XXX.XXXer Adressen auf meinen Router geblockt werden (ACL 100 = eingehender Traffic) und ein paar Zugriffe von Host 2 (192.168.0.3 - der Rechner meiner Lebensgefährtin) auf einige Adressen im Netz nicht permitted werden (ACL 101 = ausgehender Traffic). Liegt aber, denke ich mal, daran, dass die TCP-Connection nicht established wird.
Von meinem VPN taucht im Logging nichts auf. Es gibt einfach keinen Debug-Output zu den Crypto-Sachen!!! Ich weiß auch nicht warum nicht.
Wenn es welchen gäbe, würde ich ja von selbst hinter den Fehler kommen. Aber so.... :-(

Wenn es soooo hilfreich ist, kann ich Dir gerne mal eine etwas weniger veränderte Version meiner running-config per PN oder E-Mail schicken.
Wäre für jede Hilfe dankbar, weil mich das Thema so langsam echt an den Rande des Wahnsinns treibt und ich diese blöde Verbindung endlich mal hinbekommen will!!!

Nachdem ich die ACLs ein wenig verändert habe, gibts sogar Debug-Output. Vielleicht fällt damit eine Analyse leichter.


Code:

---

1d01h: ISAKMP: received ke message (1/1)
1d01h: ISAKMP: local port 500, remote port 500
1d01h: ISAKMP (0:1): Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM
Old State = IKE_READY  New State = IKE_I_MM1 

1d01h: ISAKMP (0:1): beginning Main Mode exchange
1d01h: ISAKMP (0:1): sending packet to 213.9.XXX.XXX (I) MM_NO_STATE
1d01h: ISAKMP (0:1): received packet from 213.9.XXX.XXX (I) MM_NO_STATE
1d01h: ISAKMP (0:1): Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Old State = IKE_I_MM1  New State = IKE_I_MM2 

1d01h:
helios# ISAKMP (0:1): processing SA payload. message ID = 0
1d01h: ISAKMP (0:1): found peer pre-shared key matching 213.9.XXX.XXX
1d01h: ISAKMP (0:1): Checking ISAKMP transform 1 against priority 1 policy
1d01h: ISAKMP:      encryption 3DES-CBC
1d01h: ISAKMP:      hash MD5
1d01h: ISAKMP:      default group 2
1d01h: ISAKMP:      auth pre-share
1d01h: ISAKMP:      life type in seconds
1d01h: ISAKMP:      life duration (basic) of 3600
1d01h: ISAKMP (0:1): atts are acceptable. Next payload is 0
1d01h: ISAKMP (0:1): Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Old State = IKE_I_MM2  New State = IKE_I_MM2 

1d01h: ISAKMP (0:1): sending packet to 213.9.XXX.XXX (I) MM_SA_SETUP
1d01h: ISAKMP (0:1): Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Old State = IKE_I_MM2  New State = IKE_I_MM3 

1d01h: ISAKMP (0:1): received packet from 213.9.XXX.XXX (I) MM_SA_SETUP
1d01h: ISAKMP (0:1): Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Old State = IKE_I_MM3  New State = IKE_I_MM4 

1d01h: ISAKMP (0:1): processing KE payload. message ID = 0
1d01h: ISAKMP (0:1): processing NONCE payload. message ID = 0
1d01h: ISAKMP (0:1): found peer pre-shared key matching 213.9.XXX.XXX
1d01h: ISAKMP (0:1): SKEYID state generated
1d01h: ISAKMP (0:1): Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Old State = IKE_I_MM4  New State = IKE_I_MM4 

1d01h: ISAKMP (0:1): SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
1d01h: ISAKMP (1): ID payload
	next-payload : 8
	type         : 1
	protocol     : 17
	port         : 500
	length       : 8
1d01h: ISAKMP (1): Total payload length: 12
1d01h: ISAKMP (0:1): sending packet to 213.9.XXX.XXX (I) MM_KEY_EXCH
1d01h: ISAKMP (0:1): Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Old State = IKE_I_MM4  New State = IKE_I_MM5 

1d01h: ISAKMP (0:1): received packet from 213.9.XXX.XXX (I) MM_KEY_EXCH
1d01h: ISAKMP (0:1): Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Old State = IKE_I_MM5  New State = IKE_I_MM6 

1d01h: ISAKMP (0:1): processing ID payload. message ID = 0
1d01h: ISAKMP (0:1): processing HASH payload. message ID = 0
1d01h: ISAKMP (0:1): SA has been authenticated with 213.9.XXX.XXX
1d01h: ISAKMP (0:1): Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Old State = IKE_I_MM6  New State = IKE_I_MM6 

1d01h: ISAKMP (0:1): Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Old State = IKE_I_MM6  New State = IKE_P1_COMPLETE 

1d01h: ISAKMP (0:1): beginning Quick Mode exchange, M-ID of 976177952
1d01h: ISAKMP (0:1): sending packet to 213.9.XXX.XXX (I) QM_IDLE      
1d01h: ISAKMP (0:1): Node 976177952, Input = IKE_MESG_INTERNAL, IKE_INIT_QM
Old State = IKE_QM_READY  New State = IKE_QM_I_QM1 

1d01h: ISAKMP (0:1): Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE 

1d01h: ISAKMP (0:1): received packet from 213.9.XXX.XXX (I) QM_IDLE      
1d01h: ISAKMP (0:1): processing HASH payload. message ID = -1068750294
1d01h: ISAKMP (0:1): processing NOTIFY INVALID_ID_INFO protocol 1
	spi 0, message ID = -1068750294, sa = 810689A4
1d01h: ISAKMP (0:1): peer does not do paranoid keepalives.

1d01h: ISAKMP (0:1): deleting SA reason "recevied fatal informational" state (I) QM_IDLE       (peer 213.9.XXX.XXX) input queue 0
1d01h: ISAKMP (0:1): deleting node -1068750294 error FALSE reason "informational (in) state 1"
1d01h: ISAKMP (0:1): Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE 

1d01h: ISAKMP (0:1): sending packet to 213.9.XXX.XXX (I) QM_IDLE      
1d01h: ISAKMP (0:1): purging node -1945303385
1d01h: ISAKMP (0:1): Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
Old State = IKE_P1_COMPLETE  New State = IKE_DEST_SA 

1d01h: ISAKMP (0:1): deleting SA reason "" state (I) QM_IDLE       (peer 213.9.XXX.XXX) input queue 0
1d01h: ISAKMP (0:1): deleting node 976177952 error FALSE reason ""
1d01h: ISAKMP (0:1): Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Old State = IKE_DEST_SA  New State = IKE_DEST_SA 

1d01h: ISAKMP (0:1): received packet from 213.9.XXX.XXX (I) MM_NO_STATE
1d01h: ISAKMP: received ke message (1/1)
1d01h: ISAKMP: local port 500, remote port 500
1d01h: ISAKMP (0:2): Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM
Old State = IKE_READY  New State = IKE_I_MM1 

1d01h: ISAKMP (0:2): beginning Main Mode exchange
1d01h: ISAKMP (0:2): sending packet to 213.9.XXX.XXX (I) MM_NO_STATE
1d01h: ISAKMP (0:2): received packet from 213.9.XXX.XXX (I) MM_NO_STATE
1d01h: ISAKMP (0:2): Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Old State = IKE_I_MM1  New State = IKE_I_MM2 

1d01h: ISAKMP (0:2): processing SA payload. message ID = 0
1d01h: ISAKMP (0:2): found peer pre-shared key matching 213.9.XXX.XXX
1d01h: ISAKMP (0:2): Checking ISAKMP transform 1 against priority 1 policy
1d01h: ISAKMP:      encryption 3DES-CBC
1d01h: ISAKMP:      hash MD5
1d01h: ISAKMP:      default group 2
1d01h: ISAKMP:      auth pre-share
1d01h: ISAKMP:      life type in seconds
1d01h: ISAKMP:      life duration (basic) of 3600
1d01h: ISAKMP (0:2): atts are acceptable. Next payload is 0
1d01h: ISAKMP (0:2): Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Old State = IKE_I_MM2  New State = IKE_I_MM2 

1d01h: ISAKMP (0:2): sending packet to 213.9.XXX.XXX (I) MM_SA_SETUP
1d01h: ISAKMP (0:2): Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Old State = IKE_I_MM2  New State = IKE_I_MM3 

1d01h: ISAKMP (0:2): received packet from 213.9.XXX.XXX (I) MM_SA_SETUP
1d01h: ISAKMP (0:2): Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Old State = IKE_I_MM3  New State = IKE_I_MM4 

1d01h: ISAKMP (0:2): processing KE payload. message ID = 0
1d01h: ISAKMP (0:2): processing NONCE payload. message ID = 0
1d01h: ISAKMP (0:2): found peer pre-shared key matching 213.9.XXX.XXX
1d01h: ISAKMP (0:2): SKEYID state generated
1d01h: ISAKMP (0:2): Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Old State = IKE_I_MM4  New State = IKE_I_MM4 

1d01h: ISAKMP (0:2): SA is doing pre-shared key authentication using id type ID_IPV4_ADDR
1d01h: ISAKMP (2): ID payload
	next-payload : 8
	type         : 1
	protocol     : 17
	port         : 500
	length       : 8
1d01h: ISAKMP (2): Total payload length: 12
1d01h: ISAKMP (0:2): sending packet to 213.9.XXX.XXX (I) MM_KEY_EXCH
1d01h: ISAKMP (0:2): Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Old State = IKE_I_MM4  New State = IKE_I_MM5 

1d01h: ISAKMP (0:2): received packet from 213.9.XXX.XXX (I) MM_KEY_EXCH
1d01h: ISAKMP (0:2): Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Old State = IKE_I_MM5  New State = IKE_I_MM6 

1d01h: ISAKMP (0:2): processing ID payload. message ID = 0
1d01h: ISAKMP (0:2): processing HASH payload. message ID = 0
1d01h: ISAKMP (0:2): SA has been authenticated with 213.9.XXX.XXX
1d01h: ISAKMP (0:2): Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Old State = IKE_I_MM6  New State = IKE_I_MM6 

1d01h: ISAKMP (0:2): Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Old State = IKE_I_MM6  New State = IKE_P1_COMPLETE 

1d01h: ISAKMP (0:2): beginning Quick Mode exchange, M-ID of -1953731772
1d01h: ISAKMP (0:2): sending packet to 213.9.XXX.XXX (I) QM_IDLE      
1d01h: ISAKMP (0:2): Node -1953731772, Input = IKE_MESG_INTERNAL, IKE_INIT_QM
Old State = IKE_QM_READY  New State = IKE_QM_I_QM1 

1d01h: ISAKMP (0:2): Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE 

1d01h: ISAKMP (0:2): received packet from 213.9.XXX.XXX (I) QM_IDLE      
1d01h: ISAKMP (0:2): processing HASH payload. message ID = 1116301779
1d01h: ISAKMP (0:2): processing NOTIFY INVALID_ID_INFO protocol 1
	spi 0, message ID = 1116301779, sa = 810791BC
1d01h: ISAKMP (0:2): peer does not do paranoid keepalives.

1d01h: ISAKMP (0:2): deleting SA reason "recevied fatal informational" state (I) QM_IDLE       (peer 213.9.XXX.XXX) input queue 0
1d01h: ISAKMP (0:2): deleting node 1116301779 error FALSE reason "informational (in) state 1"
1d01h: ISAKMP (0:2): Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE 

1d01h: ISAKMP (0:2): sending packet to 213.9.XXX.XXX (I) QM_IDLE      
1d01h: ISAKMP (0:2): purging node -1047798905
1d01h: ISAKMP (0:2): Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
Old State = IKE_P1_COMPLETE  New State = IKE_DEST_SA 

1d01h: ISAKMP (0:2): deleting SA reason "" state (I) QM_IDLE       (peer 213.9.XXX.XXX) input queue 0
1d01h: ISAKMP (0:2): deleting node -1953731772 error FALSE reason ""
1d01h: ISAKMP (0:2): Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Old State = IKE_DEST_SA  New State = IKE_DEST_SA 

1d01h: ISAKMP (0:2): received packet from 213.9.XXX.XXX (I) MM_NO_STATE

---

What about the Astaro Ipsec Logfile and the used authentication policy. Please more details on ASL site!
/bagira