Road Warrior Setup Questions

Don't user the RoadWarrior CA setting.. Use plain RoadWarrior.

Ok, I have changed the setup to regular Road warrior with following config:

Type: Road Warrior
IPSec Policy: ACM_Default
Auto Packet Filter: Off
Local Endpoint: External
Remote Endpoint: Any
Local Subnet: None
Remote Subnet: None
L2TP: Off
Keys: 

I generated a server x.509 and a user x.509 and set the server key as the local key.

I downloaded the user config and imported it into my ASC.

I created a service group with: UDP: 500 and 4500, IP: 50, AH and ESP.  I allowed this service group from any into my external address.  I also setup an IPSEC group to firewall vpn users once connected.

I try to connect and get:

IKE error (Phase 1)
Lost contact to peer

I see no real evidence of the packet filter blocking anything from the log and have this in my ASC log:

11/08/2006 23:24:07  Turning on DPD mode - Road_Warrior
11/08/2006 23:24:07  NCPIKE-phase1:name(Road_Warrior) - connected
11/08/2006 23:24:07  Phase1 is Ready: IkeIndex = 00000014
11/08/2006 23:24:07  Quick Mode is Ready: IkeIndex = 00000014 , VpnSrcPort = 4500
11/08/2006 23:24:07  Assigned IP Address: 192.168.1.2
11/08/2006 23:24:07  XMIT_MSG1_QUICK - Road_Warrior
11/08/2006 23:24:07  NOTIFY : Road_Warrior : RECEIVED : INVALID_ID_INFORMATION
11/08/2006 23:24:12  NOTIFY : Road_Warrior : RECEIVED : INVALID_MESSAGE_ID
11/08/2006 23:24:15  NOTIFY : Road_Warrior : RECEIVED : INVALID_MESSAGE_ID
11/08/2006 23:24:18  NOTIFY : Road_Warrior : RECEIVED : INVALID_MESSAGE_ID
11/08/2006 23:24:21  NCPIKE-phase2:name(Road_Warrior) - error - retry timeout - max retries
11/08/2006 23:24:21  IPSDIAL  - disconnected from Road_Warrior on channel 1.

I see INVALID_MESSAGE_ID, but I am not even sure what this means.  Is it referring to isakmp message id's?  if so, how could they be invalid if the ASC config is generated from the ASG VPN config?

I suppose I am just not familiar with the ASG webui yet, and I would appreciate any help at all.

More information:

I turned on IKE debugging minus raw and encrypted packets and found this line:

 "D_Road_Warrior_0"[1]  #1: cannot respond to IPsec SA request because no connection is known for ...[]===192.168.1.2/32
2006:08:12-01:50:01 (none) pluto[9153]: | complete state transition with (null)
2006:08:12-01:50:01 (none) pluto[9153]: "D_Road_Warrior_0"[1]  #1: sending encrypted notification INVALID_ID_INFORMATION to :4500

What I see as weird here is that it has my internal ip at my home as 192.168.1.2/32.  The ip address is right, but the mask is not.

hi,

i've set up vpn access with x.509 exactly following the how-to from the knowledgebase and i get exactly the same error messages than you do.

i've tried all i could with my limited knowledge of astaro and the asc but up to now i'm completetely stuck...

rgds,
tim

hi there

I have the same problem with asc. but befor i changed the "local subnet" to "non", the connection was very stable for long time. 

should I know something about none-local-subnet configuration, as I had to configure something before?

my problem was:
i have three local subnets, an if I configure the VPN Connection to use only the main Subnet (in this case "internal"), i have to configure some NAT to access the other networks from my vpn-client.
so I wanted to change the local subnet to none, as i can use alle three subnets from a vpn connection at the same time.

thanks for help. kind regards
jan

hi there

I have the same problem with asc. but befor i changed the "local subnet" to "non", the connection was very stable for long time. 

should I know something about none-local-subnet configuration, as I had to configure something before?

my problem was:
i have three local subnets, an if I configure the VPN Connection to use only the main Subnet (in this case "internal"), i have to configure some NAT to access the other networks from my vpn-client.
so I wanted to change the local subnet to none, as i can use alle three subnets from a vpn connection at the same time.

thanks for help. kind regards
jan