Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 2649 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Droid to ASG over L2TP/IPSec PreShared Key VPN Issues

Jhaislet
I'm trying to connect a Droid to ASG 7.502 via L2TP/IPSec and it seems to be running into all kinds of problems.  I have the same shared secret setup on both the Droid and ASG (and I've tried various lengths/characters in case the Droid also has minimum password/secret requirements).  Nothing seems to work.  

Below is the log from each time the Droid tries to connect from it's L2TP/IPsec PreShared Key profile. 


2010:01:23-17:14:03 firewall pluto[29764]: packet from ***.***.***.xx1:500: received Vendor ID payload [RFC 3947]

2010:01:23-17:14:03 firewall pluto[29764]: packet from ***.***.***.xx1:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]

2010:01:23-17:14:03 firewall pluto[29764]: packet from ***.***.***.xx1:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]

2010:01:23-17:14:03 firewall pluto[29764]: packet from ***.***.***.xx1:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]

2010:01:23-17:14:03 firewall pluto[29764]: packet from ***.***.***.xx1:500: ignoring Vendor ID payload [FRAGMENTATION 80000000]

2010:01:23-17:14:03 firewall pluto[29764]: "S_REF_TcEYhcYEqO"[2] ***.***.***.xx1 #98: responding to Main Mode from unknown peer ***.***.***.xx1

2010:01:23-17:14:04 firewall pluto[29764]: "S_REF_TcEYhcYEqO"[2] ***.***.***.xx1 #98: NAT-Traversal: Result using RFC 3947: no NAT detected

2010:01:23-17:14:04 firewall pluto[29764]: "S_REF_TcEYhcYEqO"[2] ***.***.***.xx1 #98: Peer ID is ID_IPV4_ADDR: '***.***.***.xx1'

2010:01:23-17:14:04 firewall pluto[29764]: "S_REF_TcEYhcYEqO"[2] ***.***.***.xx1 #98: sent MR3, ISAKMP SA established

2010:01:23-17:14:04 firewall pluto[29764]: "S_REF_TcEYhcYEqO"[2] ***.***.***.xx1 #98: ignoring informational payload, type IPSEC_INITIAL_CONTACT

2010:01:23-17:14:05 firewall pluto[29764]: "S_REF_TcEYhcYEqO"[2] ***.***.***.xx1 #99: responding to Quick Mode

2010:01:23-17:14:05 firewall pluto[29764]: "S_REF_TcEYhcYEqO"[2] ***.***.***.xx1 #99: IPsec SA established {ESP=>0x045b6b2e 


This thread was automatically locked due to age.
Parents
  • 0
    Here's a successful connection from my laptop: 
    2010:01:21-15:10:54 post pluto[3348]: packet from 72.xx.yy.221:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000006]

    2010:01:21-15:10:54 post pluto[3348]: packet from 72.xx.yy.221:500: received Vendor ID payload [RFC 3947]

    2010:01:21-15:10:54 post pluto[3348]: packet from 72.xx.yy.221:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]

    2010:01:21-15:10:54 post pluto[3348]: packet from 72.xx.yy.221:500: ignoring Vendor ID payload [FRAGMENTATION]

    2010:01:21-15:10:54 post pluto[3348]: packet from 72.xx.yy.221:500: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]

    2010:01:21-15:10:54 post pluto[3348]: packet from 72.xx.yy.221:500: ignoring Vendor ID payload [Vid-Initial-Contact]

    2010:01:21-15:10:54 post pluto[3348]: packet from 72.xx.yy.221:500: ignoring Vendor ID payload [IKE CGA version 1]

    2010:01:21-15:10:54 post pluto[3348]: "S_REF_bqPGsVBHbM_1"[61] 72.xx.yy.221 #387: responding to Main Mode from unknown peer 72.xx.yy.221

    2010:01:21-15:10:54 post pluto[3348]: "S_REF_bqPGsVBHbM_1"[61] 72.xx.yy.221 #387: only OAKLEY_GROUP_MODP1024 and OAKLEY_GROUP_MODP1536 supported.  Attribute OAKLEY_GROUP_DESCRIPTION

    2010:01:21-15:10:54 post pluto[3348]: "S_REF_bqPGsVBHbM_1"[61] 72.xx.yy.221 #387: only OAKLEY_GROUP_MODP1024 and OAKLEY_GROUP_MODP1536 supported.  Attribute OAKLEY_GROUP_DESCRIPTION

    2010:01:21-15:10:54 post pluto[3348]: "S_REF_bqPGsVBHbM_1"[61] 72.xx.yy.221 #387: NAT-Traversal: Result using RFC 3947: peer is NATed

    2010:01:21-15:10:54 post pluto[3348]: "S_REF_bqPGsVBHbM_1"[61] 72.xx.yy.221 #387: Peer ID is ID_IPV4_ADDR: '192.168.yy.102'

    2010:01:21-15:10:54 post pluto[3348]: "S_REF_bqPGsVBHbM_1"[62] 72.xx.yy.221 #387: deleting connection "S_REF_bqPGsVBHbM_1" instance with peer 72.xx.yy.221 {isakmp=#0/ipsec=#0}

    2010:01:21-15:10:54 post pluto[3348]: | NAT-T: new mapping 72.xx.yy.221:500/4500)

    2010:01:21-15:10:54 post pluto[3348]: "S_REF_bqPGsVBHbM_1"[62] 72.xx.yy.221:4500 #387: sent MR3, ISAKMP SA established

    2010:01:21-15:10:54 post pluto[3348]: "S_REF_bqPGsVBHbM_0"[29] 72.xx.yy.221:4500 #388: NAT-Traversal: received 2 NAT-OA. using first, ignoring others

    2010:01:21-15:10:54 post pluto[3348]: "S_REF_bqPGsVBHbM_0"[29] 72.xx.yy.221:4500 #388: responding to Quick Mode

    2010:01:21-15:10:54 post pluto[3348]: "S_REF_bqPGsVBHbM_0"[29] 72.xx.yy.221:4500 #388: IPsec SA established {ESP=>0xf2b577b3  /dev/pts/0

    2010:01:21-15:11:00 post pppd-l2tp[18386]: Cannot determine ethernet address for proxy ARP

    2010:01:21-15:11:00 post pppd-l2tp[18386]: local  IP address 10.242.3.1

    2010:01:21-15:11:00 post pppd-l2tp[18386]: remote IP address 10.242.3.2

    2010:01:21-15:11:01 post pppd-l2tp[18386]: id="2201" severity="info" sys="SecureNet" sub="vpn" event="Connection started" username="MEDIASOFT\balfson" variant="l2tp" srcip="72.xx.yy.221" virtual_ip="10.242.3.2"

    2010:01:21-15:11:05 post pluto[3348]: forgetting secrets

    2010:01:21-15:11:05 post pluto[3348]: loading secrets from "/etc/ipsec.secrets"

    2010:01:21-15:11:05 post pluto[3348]:   loaded private key file '/etc/ipsec.d/private/REF_VRmeybwDpl.pem' (1679 bytes)

    2010:01:21-15:11:05 post pluto[3348]:   loaded private key file '/etc/ipsec.d/private/REF_VRmeybwDpl.pem' (1679 bytes)

    2010:01:21-15:11:05 post pluto[3348]:   loaded private key file '/etc/ipsec.d/private/REF_VRmeybwDpl.pem' (1679 bytes)

    2010:01:21-15:11:05 post pluto[3348]:   loaded shared key for 0.0.0.0 68.xx.yy.33 

    2010:01:21-15:11:05 post pluto[3348]:   loaded shared key for 0.0.0.0 68.xx.yy.33


    Your IPsec SA establishes, so it seems like your problem is:
    "2010:01:23-17:14:05 firewall xl2tpd[5784]: get_secret : Unable to open '/etc/xl2tpd/l2tp-secrets' for authentication"

    Are you sure you have selected 'Authentication mode' "Preshared key" and that the PSK is saved in the Astaro?  Can you connect with any other device?

    Cheers - Bob
  • 0 in reply to BAlfson
    Yes, I've definitely selected PSK and entered my key twice.  

    Are there any limits on the strength of the PSK in Astaro?  While trying to get this to work, I was using an 8-digit numerical key (as a test setup).  Could this have been an issue?

    I currently have no other external devices outside of my firewall to try to connect with.

    Thanks!
Reply
  • 0 in reply to BAlfson
    Yes, I've definitely selected PSK and entered my key twice.  

    Are there any limits on the strength of the PSK in Astaro?  While trying to get this to work, I was using an 8-digit numerical key (as a test setup).  Could this have been an issue?

    I currently have no other external devices outside of my firewall to try to connect with.

    Thanks!
Children
  • 0 in reply to Jhaislet
    If you like, I'd be glad to try to connect from my laptop.  Add a user "balfson" to 'Allowed users' and send me an email (click on my name beside my avatar) with the password, your PSK and your pubic IP.  I'll email you back when I'm ready to try so you can pop up the IPsec live log.

    Cheers - Bob