Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 2374 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

pptp or l2tp ---- android and astaro

QVICIO
someone has connected the (google ) system to Astaro for PPTP or L2TP connections ?


This thread was automatically locked due to age.
  • 0
    I too have been tirelessly trying to get l2tp/ipsec to work with my new droid.  Anyone have any success?
  • 0
    What does the 'Remote Access Status' show when you try to connect?  What do you see in the Astaro IPsec log?

    Cheers - Bob
  • 0 in reply to BAlfson
    I should note that we are load balancing multiple ISP's using third party boxes. (They were implemented before astaro added the feature.) The 192.168.100.50 address below is my actual ASG address behind the load balancing box.  

    Here's my IPSec log when trying to connect:

    2009:11:22-10:33:09 portal-1 pluto[4521]: packet from :500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2009:11:22-10:33:09 portal-1 pluto[4521]: packet from :500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2009:11:22-10:33:09 portal-1 pluto[4521]: packet from :500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
    2009:11:22-10:33:09 portal-1 pluto[4521]: packet from :500: ignoring Vendor ID payload [FRAGMENTATION 80000000]
    2009:11:22-10:33:09 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1] :4500 #3038: responding to Main Mode from unknown peer :4500
    2009:11:22-10:33:09 portal-1 pluto[4521]: | NAT-T: new mapping :4500/500)
    2009:11:22-10:33:09 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1]  #3038: NAT-Traversal: Result using RFC 3947: i am NATed
    2009:11:22-10:33:09 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1]  #3038: Peer ID is ID_IPV4_ADDR: ''
    2009:11:22-10:33:09 portal-1 pluto[4521]: | NAT-T: new mapping :500/4500)
    2009:11:22-10:33:09 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1] :4500 #3038: sent MR3, ISAKMP SA established
    2009:11:22-10:33:09 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1] :4500 #3038: ignoring informational payload, type IPSEC_INITIAL_CONTACT
    2009:11:22-10:33:10 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1] :4500 #3038: cannot respond to IPsec SA request because no connection is known for /32===192.168.100.50:4500:17/1701...:4500:17/%any
    2009:11:22-10:33:10 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1] :4500 #3038: sending encrypted notification INVALID_ID_INFORMATION to :4500
    2009:11:22-10:33:21 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1] :4500 #3038: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x8ec7cbfd (perhaps this is a duplicated packet)
    2009:11:22-10:33:21 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1] :4500 #3038: sending encrypted notification INVALID_MESSAGE_ID to :4500
    2009:11:22-10:33:30 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1] :4500 #3038: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x8ec7cbfd (perhaps this is a duplicated packet)
    2009:11:22-10:33:30 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1] :4500 #3038: sending encrypted notification INVALID_MESSAGE_ID to :4500 2009:11:22-10:33:09 portal-1 pluto[4521]: packet from :500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2009:11:22-10:33:09 portal-1 pluto[4521]: packet from :500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2009:11:22-10:33:09 portal-1 pluto[4521]: packet from :500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
    2009:11:22-10:33:09 portal-1 pluto[4521]: packet from :500: ignoring Vendor ID payload [FRAGMENTATION 80000000]
    2009:11:22-10:33:09 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1] :4500 #3038: responding to Main Mode from unknown peer :4500
    2009:11:22-10:33:09 portal-1 pluto[4521]: | NAT-T: new mapping :4500/500)
    2009:11:22-10:33:09 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1]  #3038: NAT-Traversal: Result using RFC 3947: i am NATed
    2009:11:22-10:33:09 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1]  #3038: Peer ID is ID_IPV4_ADDR: ''
    2009:11:22-10:33:09 portal-1 pluto[4521]: | NAT-T: new mapping :500/4500)
    2009:11:22-10:33:09 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1] :4500 #3038: sent MR3, ISAKMP SA established
    2009:11:22-10:33:09 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1] :4500 #3038: ignoring informational payload, type IPSEC_INITIAL_CONTACT
    2009:11:22-10:33:10 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1] :4500 #3038: cannot respond to IPsec SA request because no connection is known for /32===192.168.100.50:4500:17/1701...:4500:17/%any
    2009:11:22-10:33:10 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1] :4500 #3038: sending encrypted notification INVALID_ID_INFORMATION to :4500
    2009:11:22-10:33:21 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1] :4500 #3038: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x8ec7cbfd (perhaps this is a duplicated packet)
    2009:11:22-10:33:21 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1] :4500 #3038: sending encrypted notification INVALID_MESSAGE_ID to :4500
    2009:11:22-10:33:30 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1] :4500 #3038: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x8ec7cbfd (perhaps this is a duplicated packet)
    2009:11:22-10:33:30 portal-1 pluto[4521]: "S_REF_BgCLdHxzid"[1] :4500 #3038: sending encrypted notification INVALID_MESSAGE_ID to :4500
  • 0
    I'm not very good at IPsec, so this is as much a learning exercize for me as anything...

    Comparing to what I see when I connect L2TP/IPsec with my iPhone, "FRAGMENTATION" and the two instances of "Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x8ec7cbfd" seem strange to me.  Is the load balancing device also a firewall?  Is it perhaps blocking port 50 or 51?  Is Google or your ISP blocking 4500?

    Also, I wonder if the NATing in front of the Astaro isn't confusing the client in the android.

    Cheers - Bob
  • 0
    The load balancing device is not a firewall. None of the listed ports are blocked to my knowledge.  

    I could see NATing causing some confusion...

    Has anyone successfully connected a Motorola Droid to an ASG?  That would be a great starting point.
  • 0 in reply to dspero
    I too have been having problems. I have narrowed it down to not be the 3G Network, since I cannot connect locally over wireless through G1 either, it will connect but fail CHAP authentication (And yes im entering username, password and PSK corectly [;)]):

    2009:12:06-19:18:32 My Network xl2tpd[6736]: Listening on IP address 0.0.0.0, port 1701
    2009:12:06-19:20:47 My Network pluto[3461]: packet from 192.168.1.151:500: received Vendor ID payload [RFC 3947]
    2009:12:06-19:20:47 My Network pluto[3461]: packet from 192.168.1.151:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2009:12:06-19:20:47 My Network pluto[3461]: packet from 192.168.1.151:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2009:12:06-19:20:47 My Network pluto[3461]: packet from 192.168.1.151:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
    2009:12:06-19:20:47 My Network pluto[3461]: packet from 192.168.1.151:500: ignoring Vendor ID payload [FRAGMENTATION 80000000]
    2009:12:06-19:20:47 My Network pluto[3461]: "S_REF_WDrIelFbTT_1"[1] 192.168.1.151 #15: responding to Main Mode from unknown peer 192.168.1.151
    2009:12:06-19:20:47 My Network pluto[3461]: "S_REF_WDrIelFbTT_1"[1] 192.168.1.151 #15: NAT-Traversal: Result using RFC 3947: no NAT detected
    2009:12:06-19:20:47 My Network pluto[3461]: "S_REF_WDrIelFbTT_1"[1] 192.168.1.151 #15: Peer ID is ID_IPV4_ADDR: '192.168.1.151'
    2009:12:06-19:20:47 My Network pluto[3461]: "S_REF_WDrIelFbTT_1"[1] 192.168.1.151 #15: sent MR3, ISAKMP SA established
    2009:12:06-19:20:47 My Network pluto[3461]: "S_REF_WDrIelFbTT_1"[1] 192.168.1.151 #15: ignoring informational payload, type IPSEC_INITIAL_CONTACT
    2009:12:06-19:20:48 My Network pluto[3461]: "S_REF_WDrIelFbTT_0"[1] 192.168.1.151 #16: responding to Quick Mode
    2009:12:06-19:20:49 My Network pluto[3461]: "S_REF_WDrIelFbTT_0"[1] 192.168.1.151 #16: IPsec SA established {ESP=>0x0c3bae41  /dev/pts/0
    2009:12:06-19:20:51 My Network pppd-l2tp[6848]: sent [LCP ConfReq id=0x1      ]
    2009:12:06-19:20:51 My Network pppd-l2tp[6848]: rcvd [LCP ConfReq id=0x1     ]
    2009:12:06-19:20:51 My Network pppd-l2tp[6848]: sent [LCP ConfAck id=0x1     ]
    2009:12:06-19:20:51 My Network pppd-l2tp[6848]: rcvd [LCP ConfNak id=0x1 ]
    2009:12:06-19:20:51 My Network pppd-l2tp[6848]: sent [LCP ConfReq id=0x2      ]
    2009:12:06-19:20:51 My Network pppd-l2tp[6848]: rcvd [LCP ConfAck id=0x2      ]
    2009:12:06-19:20:51 My Network pppd-l2tp[6848]: sent [CHAP Challenge id=0x5c , name = "Astaro Security Gateway"]
    2009:12:06-19:20:51 My Network pppd-l2tp[6848]: rcvd [CHAP Response id=0x5c , name = "g1"]
    2009:12:06-19:20:53 My Network pppd-l2tp[6848]: Peer g1 failed CHAP authentication
    2009:12:06-19:20:53 My Network pppd-l2tp[6848]: sent [CHAP Failure id=0x5c "E=691 R=1 C=85958d9e0abe641e995e447d804d13a368e34bef V=0 M=Access denied"]
    2009:12:06-19:20:53 My Network pppd-l2tp[6848]: sent [LCP TermReq id=0x3 "Authentication failed"]
    2009:12:06-19:20:53 My Network pppd-l2tp[6848]: rcvd [LCP TermReq id=0x2 "Failed to authenticate ourselves to peer"]
    2009:12:06-19:20:53 My Network pppd-l2tp[6848]: sent [LCP TermAck id=0x2]
    2009:12:06-19:20:53 My Network pppd-l2tp[6848]: rcvd [LCP TermAck id=0x3]
    2009:12:06-19:20:53 My Network pppd-l2tp[6848]: Connection terminated.
  • 0
    I'm a little confused by your IP, Tucker.  Why would the Android have a private IP, 192.168.1.151?  IPsec comments "no NAT detected" in the above - is there something unusual about your setup?

    Do you have 'Dead peer detection' checked on the 'Advanced' tab of IPsec?  I don't think that's your issue though.

    CHAP - that would mean that you're using RADIUS.  Have you tried establishing a connection with a locally-authenticated user?

    dspero, What does the 'Remote Access Status' show when you try to connect?

    Cheers - Bob
  • 0 in reply to BAlfson
    I was attempting to connect locally over WLAN, so I was trying to rule out any 3G Network related problems with connecting. I had already tested with a laptop on the LAN and I was able to connect fine.

    And no I am not using a RADIUS server.