Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 5184 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec Remote Access Issues

ChrisMiller
Hello,
I'm trying to get remote access via IPSec (Not L2TP over IPSec) setup and working. To my knowledge I have everything configured the way it should be but I'm getting Errors when the client tries to connect. I'm getting the same error on my WinXp and Win7 machines

ASG320 -v7.501

Here is the Log from the Client:
11/10/2009 9:39:35 AM  IPSec: Start building connection
11/10/2009 9:39:35 AM  Ike: phase1:name(ASG-Studio) - outgoing connect request - main mode.
11/10/2009 9:39:35 AM  Ike: XMIT_MSG1_MAIN - ASG-Studio
11/10/2009 9:39:35 AM  Ike: RECV_MSG2_MAIN - ASG-Studio
11/10/2009 9:39:35 AM  IPSec: Final Tunnel EndPoint is:***.***.122.173
11/10/2009 9:39:35 AM  Ike: IKE phase I: Setting LifeTime to 28800 seconds
11/10/2009 9:39:35 AM  Ike: IkeSa negotiated with the following properties -
11/10/2009 9:39:35 AM    Authentication=RSA_SIGNATURES,Encryption=AES,Hash=SHA,DHGroup=5,KeyLen=256
11/10/2009 9:39:35 AM  Ike: ASG-Studio ->Support for NAT-T version - 9
11/10/2009 9:39:35 AM  Ike: XMIT_MSG3_MAIN - ASG-Studio
11/10/2009 9:39:35 AM  Ike: RECV_MSG4_MAIN - ASG-Studio
11/10/2009 9:39:35 AM  Ike: Turning on NATD mode - ASG-Studio - 1
11/10/2009 9:39:35 AM  Ike: XMIT_MSG5_MAIN - ASG-Studio
11/10/2009 9:39:35 AM  Ike: XMIT_MSG5_MAIN_RESUME - ASG-Studio
11/10/2009 9:39:35 AM  Ike: RECV_MSG6_MAIN - ASG-Studio
11/10/2009 9:39:35 AM  Ike: RECV_MSG6_MAIN_RESUME - ASG-Studio
11/10/2009 9:39:35 AM  Ike: IkeSa negotiated with the following properties -
11/10/2009 9:39:35 AM    Authentication=RSA_SIGNATURES,Encryption=AES,Hash=SHA,DHGroup=5,KeyLen=256
11/10/2009 9:39:35 AM  Ike: Turning on DPD mode - ASG-Studio
11/10/2009 9:39:35 AM  Ike: phase1:name(ASG-Studio) - connected
11/10/2009 9:39:35 AM  SUCCESS: IKE phase 1 ready
11/10/2009 9:39:35 AM  IPSec: Phase1 is Ready - IkeIndex=10
11/10/2009 9:39:35 AM  IPSec: Quick Mode is Ready: IkeIndex = 0000000a , VpnSrcPort = 4500
11/10/2009 9:39:35 AM  IkeQuick: XMIT_MSG1_QUICK - ASG-Studio
11/10/2009 9:39:35 AM  Ike: NOTIFY : ASG-Studio : RECEIVED : INVALID_ID_INFORMATION : 18
11/10/2009 9:39:40 AM  Ike: NOTIFY : ASG-Studio : RECEIVED : INVALID_MESSAGE_ID : 9
11/10/2009 9:39:43 AM  Ike: NOTIFY : ASG-Studio : RECEIVED : INVALID_MESSAGE_ID : 9
11/10/2009 9:39:46 AM  Ike: NOTIFY : ASG-Studio : RECEIVED : INVALID_MESSAGE_ID : 9
11/10/2009 9:39:49 AM  IkeQuick: phase2:name(ASG-Studio) - error - retry timeout - max retries
11/10/2009 9:39:49 AM  ERROR - 4037: IKE(phase2):Waiting for message2, retry timeout - max retries - ASG-Studio.
11/10/2009 9:39:49 AM  IPSec: Disconnected from ASG-Studio on channel 1.


I have the system in a "lab" with Public IP's  right now but I need to get it Live in the next few days. Anyone have and Idea for me? Thanks for the help.


This thread was automatically locked due to age.
  • 0
    Ca you also post the IPsec log from the Astaro?

    Cheers - Bob
  • 0
    Hey Bob, Here is the log file. I have all of the debugging options turned on so its a bit large (too large to have as an attachment to the post).

    http://www.fbxs.com/asgIPSec.txt
  • 0
    I was hoping to see the lines in the log from the same time-frame as those in the client log. I don't know that I'll know the answer, just that it's harder to diagnose when you only look at one side at a time.

    Cheers - Bob
  • 0
    I ran the connection attempt again and got the logs for each site during that time. Hope that helps. Thanks for looking at it.

    http://www.fbxs.comasgIPSec.txt
  • 0
    Hi Tophfro, 

    i checked the logfile and found this line:
    2009:11:12-16:20:11 asg101 pluto[17376]: "D_REF_RLaFsRaTQW_1"[8] ***.***.122.174 #16: no suitable connection for peer 'C=us, L=Lewisburg, O=FBXS, CN=Chris Miller, E=email@domain.com'

    This means the client sends the Distuingished Name of the Cert as the VPN-ID.

    Please check on the ASG which VPN-ID is set for this client, therefor go the Certificate Management and search for the matching certificate of that client, there you will see the VPN-ID, i'd expect it's his email adress.

    If thats the case, than you need to reconfigure your client to use the email adress as the VPN-ID. Which ipsec client are you using?

    thx Gert
  • 0
    Hi Gert,
    I'm using the latest ASC downloaded from 7.501. I download the setup files from the user portal and checked all of the settings. this screen shot is the setting for what i assume is the VPN-ID on the client as downloaded from the portal.

    Update: The cert on the ASG is set for VPNId [Email address] email@domain.com
  • 0
    Please show a pic of the user's cert on 'Remote Access >> Certificate Management'. 

    Edit your 'IPsec remote access rule' and show us a picture of it.

    Also, a picture of the 'Local X509 Certificate' box on the 'Advanced' tab of 'Remote Access >>IPsec'.

    Cheers - Bob
  • 0
    Hey Guys, Sorry for the inactivity. My son was born last Friday and that put my Remote access stuff on hold for a few days. Here are the pictures you asked for. I also included a image of the IPSec policy since i modified it to use SHA instead of MD5.