IPSEC No Route to Host

Can you see from the packet filter live log what blocked packets correspond to traffic with the specified IP?

there are no blocked packets with the corresponding IP address

Version of Astaro - still 7.2x?  Had this worked with a prior version?

Client-side software and version?

Yours - Bob

Version of Astaro - still 7.2x?  Had this worked with a prior version?

Client-side software and version?

Yours - Bob

thats correct

It appears to me like packets are trying to route back to the real world address - the one from my DSL connection - and it should be trying to rote to the tunnel address from the IPSEC pool - 10.238.11.2

I understand your response to mean that you are still on V7.2, and that this is a fresh, new IPSec configuration, not one that worked prior to a recent Up2Date.  Right?

Someone should correct me if I'm wrong, but I believe the destination IP would be the 66. one above, not your internal one.  Isn't that the external IP of the client?

I googled on "asynchronous network error report" (with quotes) and one possible cause could be the client configuration or a bug in the client - that was the reason for my question above.

Cheers - Bob

Astaro box - v7.305
Client - Linux - v2.21 build 014

The client is quite old - and I have not been able to get a new Linux client.

Is this relevant?
[Openswan Users] Vendor ID payload [Vid-Initial-Contact]

So, it worked before and was broken witht the 7.305 Up2Date?

Cheers - Bob

I'm having a very similar problem, getting tons of these in the IPSEC log:

2008:12:05-13:24:35 (none) pluto[8801]: ERROR: asynchronous network error report on eth5 for message to CLIENT-IP port 4500, complainant GATEWAY-IP: No route to host [errno 113, origin ICMP type 11 code 1 (not authenticated)]

using ASG 7.304.

Users can auth fine, and we're not seeing any dropped packets.  Not a clue why its happening or when it started.  We just started using the VPN since upgrading from 7.2x to 7.3x

Anyone have any idea how to fix it?

What client are you using?

Clients are the built in Mac OS 10.5.5 client

Oh should also mention that this is causing problems loading websites, users can ssh and other related services, but can't browse the web at all.  (they are getting dns fine.)

I'm not familiar with the Mac at all.  If the internal users are on the HTTP Proxy and it functions for them, then have you tried adding the VPN network to the 'Allowed networks' on the 'Global' tab?

Cheers - Bob

Thanks for the suggest Bob, but we're not using HTTP proxy at all...