Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 2129 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASC-Connection Fails with invalid id information

ChaoticRyan
Hello all,

I am testing ASC and am having an issue getting it to connect to the firewall. I believe that I have followed the how to step by step but something must be missing. 

In my logs on the client I am getting this:

7/27/2005 4:54:53 PM  Protecting RAS adapter - 0
7/27/2005 4:54:55 PM  IPSDIALCHAN::start building connection
7/27/2005 4:54:55 PM  NCPIKE-phase1:name(Work) - outgoing connect request - main mode.
7/27/2005 4:54:55 PM  XMIT_MSG1_MAIN - Work
7/27/2005 4:54:55 PM  RECV_MSG2_MAIN - Work
7/27/2005 4:54:55 PM  IKE phase I: Setting LifeTime to 7800 seconds
7/27/2005 4:54:55 PM  Work ->Support for NAT-T version - 3
7/27/2005 4:54:55 PM  XMIT_MSG3_MAIN - Work
7/27/2005 4:54:55 PM  IPSDIAL->FINAL_TUNNEL_ENDPOINT:X.X.X.X
7/27/2005 4:54:55 PM  RECV_MSG4_MAIN - Work
7/27/2005 4:54:55 PM  XMIT_MSG5_MAIN - Work
7/27/2005 4:54:55 PM  XMIT_MSG5_MAIN_RESUME - Work
7/27/2005 4:54:55 PM  RECV_MSG6_MAIN - Work
7/27/2005 4:54:55 PM  RECV_MSG6_MAIN_RESUME - Work
7/27/2005 4:54:55 PM  NCPIKE-phase1:name(Work) - connected
7/27/2005 4:54:55 PM  XMIT_MSG1_QUICK - Work
7/27/2005 4:54:55 PM  NOTIFY : Work : RECEIVED : INVALID_ID_INFORMATION
7/27/2005 4:55:06 PM  NCPIKE-phase2:name(Work) - error - retry timeout - max retries
7/27/2005 4:55:06 PM  IPSDIAL  - disconnected from Work on channel 1.

I have two clients using SSH Sentinal connecting to this connection just fine.  [:S]

I am sure this is something simple but after one looks at problem too long...the error does not appear!

Thanks,

ChaoticRyan


This thread was automatically locked due to age.
Parents
  • 0
    In the log of ASL the connection is named "RoadWarrior__Remote__Connections". Is that the correct connection which fits the configuration of the ASC?
    If using roadwarrior, I recommend not to use the IP address for VPN identifier, because a roadwarrior uses dynamic IP addresses. I recommend to use another VPN identifiert for roadwarriors. Email address for example. Then check your local and remote subnet configuration for the connection. Also you could use the automatic configuration download to make sure you are using a correct configuration on the client.

    Xeno
Reply
  • 0
    In the log of ASL the connection is named "RoadWarrior__Remote__Connections". Is that the correct connection which fits the configuration of the ASC?
    If using roadwarrior, I recommend not to use the IP address for VPN identifier, because a roadwarrior uses dynamic IP addresses. I recommend to use another VPN identifiert for roadwarriors. Email address for example. Then check your local and remote subnet configuration for the connection. Also you could use the automatic configuration download to make sure you are using a correct configuration on the client.

    Xeno
Children
  • 0 in reply to Xeno
    I guess that is the question which really boils down to a clear understanding of how ASL and the Client use the certificates.

    I have the remote connections setup in ASL to use certificates.

    I have the certificates setup as e-mail certificates, but I have assigned a virtual IP to the remote key. (I believe this was done for SSH Sentinal).

    I have downloaded the config to the client and used the import tool to import the configuration.

    I have downloaded both the CA and the client Cert to the client and imported the client cert, and put the .pem key in the correct directory for the CA.

    What it sounds like you are suggesting is that I remove the Virtual IP from the client cert on ASL? Then configure the client to use any ip instead of the one assigned to the cert?

    Thanks again,
    ChaoticRyan
  • 0 in reply to ChaoticRyan
    My assumtions about what you were suggesting were correct.   This was a simple oversight on my part. Thanks for all your help!

    ChaoticRyan
  • 0 in reply to ChaoticRyan
    OK, that was a missunderstanding. I thought you are using an IP address for "VPN ID". And I recommended to use "E-Mail Address" for "VPN ID". That can be configured at the point where you create a cert.

    The virtual IP which can be configured in the menu "remote keys" is another thing. I definitly recommend to use such a virtual IP address. But make sure the subnet of the virtual IP is not used anywhere in your network yet. Use an IP from a network which is not used. Just 10.23.41.0/24 or something like that.
    Also make sure this IP address is also configured in ASC manually.

    Xeno
Cookie Information Banner