Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1071 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec - Astaro stuck using wrong Certificate

jlbrown
I've successfully set up a VPN (IPSec) connection to our Astaro Gateway using user James. Now when I try to set up another connection for user cdbrown it doesn't work. The only difference between the two connection settings is the certificate and the Local Address (10.1.2.4).

In Users, for cdbrown in the X509 Certificate section I have selected 'cdbrown (X509 User Cert)'.

The log of a connection attempt can be viewed at http://internal.bordo.com.au/VPN_Log.rtf

The VPN Client I am using is VPN Tracker from Equinux. It's log of the connection attempt is:

[FONT="Courier New"] 00:28:06 Identifier Mismatch (Phase 1)

The VPN gateway informed us that the identifiers sent by VPN Tracker do not match its own identifiers.

•  Please compare the identifiers (both type and value) sent by VPN Tracker to the identifiers expected by the gateway

Note: The “local” identifier in VPN Tracker corresponds to the “remote” (or “peer”) identifier on the VPN gateway. The “remote” identifier in VPN Tracker corresponds to the “local” (or “own”) identifier on the VPN gateway.[/FONT]

The certificate I used for VPN Tracker's local identifier is the certificate I downloaded for user cdbrown from the Certificate Management section of Remote Access.

If I simply change the certificate used by VPN Tracker from 'Cameron Brown' to James, it will connect no problems (I'd have to change cdbrown's certificate in Users to 'James (X509 User Cert)' first).

Does anyone have any suggestions?

Thanks,

James.


This thread was automatically locked due to age.
  • 0
    Try deleting Cameron's X509 Cert and regenerating it.  You must fill in all of the fields.  Remember to set his user for a different cert before and then to his cert after you regen a cert for him.

    Did that do it?

    Cheers - Bob
  • 0
    Thanks Bob.

    No, didn't work. Same error message. Also when I created the certificate in Remote Access, Certificate Management, it does not have '(X509 User Cert)' after its name, but all the other ones do.

    I get the same messages as before when trying to connect.
  • 0
    Have tried other users' certificates and I get the same problem. Only the certificate 'James' works.

    I download the certificate from the Certificate Management section of Remote Access, and then added that to the login keychain in Keychain Access (I'm on a Mac). I downloaded the file as PKCS#12. It was imported OK and can be selected in VPN Tracker's  Authentication section.
  • 0 in reply to jlbrown
    Are you creating a separate IPsec connection for each user or are you adding multiple users to one "IPSec remote access rule"?

    If you haven't try creating a separate connection for each user and see if that resolves the issue.
  • 0
    Ah, I had been adding the user to the one rule.

    When I get home I will set up a new one with only the user Cameron.

    Thanks.
  • 0
    Tried a new IPsec rule and it still didn't work.

    I had a really good look at the certificates. I thought they were the same but the one that worked had VPNId as Distinguished Name, while the one that didn't work (Cameron's) was set to Email address (the default). Changed it to Distinguished Name and it now works perfectly!

    Thanks Bob and dliandau for your help.

    James.