Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 4603 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec between ASL v7.405 & Fortinet Fortigate 60

LewisRosenthal
Greetings, all...

I'm having a Dickens of a time getting this working. On the far side, I have a Fortigate 60, which I do not manage. I have provided the admin there with a PSK and my IP data. I have requested we set up for AES256 with PFS.

Upon enabling the tunnel in WebAdmin, I get the following in the log:

[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: | *received 356 bytes from ***.***.***.***:500 on eth0 [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: received Vendor ID payload [RFC 3947] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: ignoring Vendor ID payload [16f6ca16e4a4066d83821a0f0aeaa862] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: received Vendor ID payload [Dead Peer Detection] [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: | preparse_isakmp_policy: peer requests PSK authentication [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: packet from ***.***.***.***:500: initial Main Mode message received on yyy.yyy.yyy.yyy:500 but no connection has been authorized with policy=PSK [/FONT]
[FONT=monospace]2009:08:17-16:16:49 secmgr-va pluto[3575]: | next event EVENT_DPD in 2 seconds for #52500 [/FONT]
I have no indication as to the level of knowledge the other admin has about either IPSec or about the Fortinet device, so I am taking him at his word when he says that he has entered all the data correctly (twice). Any suggestions for how to make this a bit easier (back off on the PFS? something other than IPSec?) would be greatly appreciated.

Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    Thanks, Bob.

    Yes, I've asked the admin for this info, having come across a pdf describing the VPN setup for the Fortigate 60 to a Watchguard V60.

    On my end, I've verified the remote IP address and the other settings I provided to the Fortinet admin, and I'm still stuck scratching my head. We have a telephone call scheduled for the morning; I'll follow up with more as I have it.

    Thanks again for responding!
Reply
  • 0
    Thanks, Bob.

    Yes, I've asked the admin for this info, having come across a pdf describing the VPN setup for the Fortigate 60 to a Watchguard V60.

    On my end, I've verified the remote IP address and the other settings I provided to the Fortinet admin, and I'm still stuck scratching my head. We have a telephone call scheduled for the morning; I'll follow up with more as I have it.

    Thanks again for responding!
Children
  • 0 in reply to LewisRosenthal
    Okay, I got a couple screen shots of the FortiGate config (thankfully, OpenOffice 3 is able to open docx files, as I don't use MS Office)...

    It looks like everything is in order with the possible exception of an unstated peer (local) ID. I've run into situations with various little broadband routers where I've needed to specify their LAN IP's as peer ID in the ASG before I could get them to be accepted. I'm wondering if

    packet from ***.***.***.***:500: initial Main Mode message received on yyy.yyy.yyy.yyy:500 but no connection has been authorized with policy=PSK
    might imply that while we see a PSK request coming in from an address we know, we don't see a recognizable ID...

    Also, while I have NAT-T enabled on my end, I'm not sure whether it is on the other. I've read some things about the above error and the lack of NAT-T when it is, in fact, needed.

    Thanks!