Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 2307 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

l2tp over ipsec broken

madcat
Hi folks, i've been a long time user of ASG and got really few problems but now i'm stuck with a big one.
I've made a new install of an ASG 7 with manual config (no import from backup) and everything works except l2tp over ipsec. This is the log (the ip is internal since i'm doing internal tests):

2009:02:26-15:38:23 (none) pluto[27968]: "D_REF_XaUjfPLkyZ_1"[8] 10.1.1.147 #283: responding to Main Mode from unknown peer 10.1.1.147
2009:02:26-15:38:24 (none) pluto[27968]: "D_REF_XaUjfPLkyZ_1"[8] 10.1.1.147 #283: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected
2009:02:26-15:38:24 (none) pluto[27968]: "D_REF_XaUjfPLkyZ_1"[8] 10.1.1.147 #283: Peer ID is ID_IPV4_ADDR: '10.1.1.147'
2009:02:26-15:38:24 (none) pluto[27968]: "D_REF_XaUjfPLkyZ_1"[8] 10.1.1.147 #283: sent MR3, ISAKMP SA established
2009:02:26-15:38:24 (none) pluto[27968]: "D_REF_XaUjfPLkyZ_0"[8] 10.1.1.147 #284: responding to Quick Mode
2009:02:26-15:38:24 (none) pluto[27968]: "D_REF_XaUjfPLkyZ_0"[8] 10.1.1.147 #284: IPsec SA established {ESP=>0x29c2ed66 


This thread was automatically locked due to age.
Parents
  • 0
    Have you tried restarting the IPSec service on your client PC?
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Yes. And i'm trying different clients.
    They all work fine on the VM test but not on the real firewall.... sigh [:(]
  • 0 in reply to madcat
    Do you have a firewall on your VM? 50, 51, 500, 4500?
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    On the VM there is only ASG 7 plain with nothing but 1 l2tp over ipsec and no firewall rules...
    I have another working (yes with l2tp) ASG 7 firewall of another client that's just the same as the one with this problem... no particular rules except limiting the authenticated users over the different LANs.
  • 0 in reply to madcat
    Got it!
    DO NOT use strict spoof protection in the advanced tab under networ security -> packet filter.
    Just set it to normal.
    Thanks anyway
  • 0 in reply to madcat
    By the way, just to understand... is it a feature or a bug?

    Marco
  • 0 in reply to madcat
    Here's what the manual says:
    Use Strict TCP Session Handling: By default, the system can "pick up" existing TCP connections that are not currently handled in the connection tracking table due to a network facility reset. This means that interactive sessions such as SSH and Telnet will not quit when a network interface is temporarily unavailable. Once this option is enabled, a new three-way handshake will always be necessary to re-establish such sessions. It is generally recommended to leave this option turned off. 

    I wonder what about using "strict" causes the guy on the other end to send a "Delete SA" request.  Anyway, I don't think we've ever turned it on.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    The Delete SA was sent because the connection was timed out (after 30 seconds or so)...
    I believe this is a bug since the explanation given from the manual does not fit my situation: l2tp over ipsec are UDP connections and there is no 3 way handshake like TCP....
    If you need help to investigate simply tell me.
    Cheers
Reply
  • 0 in reply to BAlfson
    The Delete SA was sent because the connection was timed out (after 30 seconds or so)...
    I believe this is a bug since the explanation given from the manual does not fit my situation: l2tp over ipsec are UDP connections and there is no 3 way handshake like TCP....
    If you need help to investigate simply tell me.
    Cheers
Children
No Data
Cookie Information Banner