Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 4600 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec between ASL v7.405 & Fortinet Fortigate 60

LewisRosenthal
Greetings, all...

I'm having a Dickens of a time getting this working. On the far side, I have a Fortigate 60, which I do not manage. I have provided the admin there with a PSK and my IP data. I have requested we set up for AES256 with PFS.

Upon enabling the tunnel in WebAdmin, I get the following in the log:

[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: | *received 356 bytes from ***.***.***.***:500 on eth0 [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: received Vendor ID payload [RFC 3947] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: ignoring Vendor ID payload [16f6ca16e4a4066d83821a0f0aeaa862] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: received Vendor ID payload [Dead Peer Detection] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: | preparse_isakmp_policy: peer requests PSK authentication [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: initial Main Mode message received on yyy.yyy.yyy.yyy:500 but no connection has been authorized with policy=PSK [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: | next event EVENT_DPD in 2 seconds for #52500 [/FONT]
I have no indication as to the level of knowledge the other admin has about either IPSec or about the Fortinet device, so I am taking him at his word when he says that he has entered all the data correctly (twice). Any suggestions for how to make this a bit easier (back off on the PFS? something other than IPSec?) would be greatly appreciated.

Thanks!


This thread was automatically locked due to age.
  • 0
    Lewis, I googled

    site:astaro.org fortinet

    and found a post from about five years ago that seems to indicate that the settings for Fortinet can be pretty granular.  Can you ask the Fortinet admin to send you pics of the Phase 1 and Phase 2 settings?

    Cheers - Bob
    PS "no connection has been authorized with policy=PSK" implies to me that he hasn't entered what you need.
  • 0
    Thanks, Bob.

    Yes, I've asked the admin for this info, having come across a pdf describing the VPN setup for the Fortigate 60 to a Watchguard V60.

    On my end, I've verified the remote IP address and the other settings I provided to the Fortinet admin, and I'm still stuck scratching my head. We have a telephone call scheduled for the morning; I'll follow up with more as I have it.

    Thanks again for responding!
  • 0 in reply to LewisRosenthal
    Okay, I got a couple screen shots of the FortiGate config (thankfully, OpenOffice 3 is able to open docx files, as I don't use MS Office)...

    It looks like everything is in order with the possible exception of an unstated peer (local) ID. I've run into situations with various little broadband routers where I've needed to specify their LAN IP's as peer ID in the ASG before I could get them to be accepted. I'm wondering if

    packet from ***.***.***.***:500: initial Main Mode message received on yyy.yyy.yyy.yyy:500 but no connection has been authorized with policy=PSK
    might imply that while we see a PSK request coming in from an address we know, we don't see a recognizable ID...

    Also, while I have NAT-T enabled on my end, I'm not sure whether it is on the other. I've read some things about the above error and the lack of NAT-T when it is, in fact, needed.

    Thanks!
  • 0
    Lewis, the pics I saw clearly showed an Advanced Options for NAT-T and other selections.  Did the guy send you a pic of that as well as of the Phase 2 tab.
  • 0
    That's one of the things we'll be discussing this morning on the phone (NAT-T). He didn't provide a snapshot of the advanced settings, so I'm not sure what he's got there. Hopefully, I'll have a resolution for this this morning, and will post my results (and a how-to).

    Thanks for following up, Bob. Much appreciated.
  • 0 in reply to LewisRosenthal
    Three hours on the phone...no dice.

    Checked NAT-T. Without it enabled, the result is similar to the last two lines of the original snippet. With it enabled (on the far end; I have it enabled on the ASG), we get all of the rest of the payloads up to that point, so clearly, this is desirable, but not the problem we're seeing.

    We reset our PSK's to something simple (12345678). No change.

    We disabled PFS. No change.

    Per a SonicWALL technote (for connecting SonicOS Enhanced to Fortinet), I created a new policy (3DES/SHA/28800 for both phases, no compression, no PFS). Steve (the other admin) set up a completely new tunnel based upon those same params. At first, the FortiGate 60 stopped passing all traffic to us (the filtered log just stopped). After about a half hour of head scratching, on the verge of his rebooting it, toggling NAT-T off and then on again got it kicked over. Still, the same error as before, however.

    I'm down to trying certs instead of PSK's, though I am not convinced that those will get us much farther.

    More news as it develops...
  • 0 in reply to LewisRosenthal
    This error can also be caused by an incorrect remote IP being entered in the IPSEC config... I've fat-fingered more than a few in my time... double check that.  Try disabling NAT-T on both ends as well.
  • 0
    @LewisR: 
    Did you find any solution? I have the same problem to not be able to establish a connection between ASG 7.501 and FortiGate 100 C. So I'd be pleased if someone can tell me the magic trick to get it working.
  • 0 in reply to magistratusx
    Double, triple, & quadruple checked addresses & other settings, and finally gave up. I'll revisit the situation at some point in the future, I suppose, but had to move on to more pressing matters. I, too, would like to know the secret...
  • 0 in reply to LewisRosenthal
    We have an Astaro speaking IPSEC to our FG60B at another location with much success.  Our settings are below:

    Astaro Settings:

    Remote Gateway Settings:

      Gateway Type: Initiate Connection
      Gateway: WAN1 Address of FG 60B
      Authentication Type: Preshared Key
      Remote Networks: Entire network on Internal Interface of FG 60B

    Policies Settings:
     
      Policy Name: Fortigate
      IKE encryption algorithm: 3DES
      IKE authentication algorithm: MD5
      IKE SA lifetime: 7800
      IKE DH group: Group5: MODP 1536

    Connections Settings:

      Remote Gateway: As defined above
      Local Interface: External (WAN1)
      Policy: Fortigate
      Local Networks: Internal


    Fortigate 60B Settings:

    VPN Auto Key (IKE) Phase 1:

      Remote Gateway: Static IP Address
      IP Address: WAN Interface of Astaro
      Local Interface: wan1
      Mode: Main (ID protection)
      Authentication Method: Preshared Key

    Advanced VPN Auto Key (IKE) Phase 1:
      
      Enable IPSec Interface Mode: Not checked
      P1 Proposal:
        1 - Encryption: 3DES   Authentication: SHA1
        2 - Encryption: 3DES   Authentication: MD5
        DH Group: 5
        Keylife: 7800
        XAuth: Disabled
        NAT-traversal: Disabled
        Keepalive Frequency: 10

      Dead Peer Detection: Enabled

    VPN Auto Key (IKE) Phase 2:

      Phase 1: As defined above

    Advanced VPN Auto Key (IKE) Phase 2:

      P2 Proposal:
        1 - Encryption: 3DES   Authentication: SHA1
        2 - Encryption: 3DES   Authentication: MD5
        Enable replay detection: yes
        Enable perfect forward secrecy(PFS): yes
        DH Group: 5
        Keylife: 7800

      Quick Mode Selector:
        Source adress: Entire internal network on FG60B
        Source port: 0
        Destination address: Entire internal network on Astaro
        Destination port: 0
        Protocol: 0

    Firewall Policy Settings:

      Internal => WAN1
        Source Interface/Zone: Internal
        Source Address: All
        Destination Interface/Zone: WAN1
        Destination Address: All
        Schedule: always
        Service: ANY
        Action: IPSEC

      VPN Tunnel: As defined above
      Allow inbound: yes
      Allow outbound: yes
      Protection profile: as desired
      Traffic shaping: as desired


    Good Luck!