Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 6624 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

l2tp/ipsec vpn broken after ASG8 install

h3mp
just loaded ASG8 on my ASG220 and imported my v7 config...

everything works fine, apart from l2tp/ipsec clients cannot connect..

all user accounts and certs seem to be there as before..

but windows just hangs connecting (you see port opened, then connecting to... - just hangs there then times out eventually)..

anyone else suffering this? - also, where is the ipsec/l2tp log - cant see anything in the ipsec log, does this have a seperate log?

Thanks

Mark


This thread was automatically locked due to age.
  • 0
    yep,
    hostname on the certs is correct, and system settings correct too... (and hostname resolves via DNS correctly)..

    incidentally, the old certs have country C=uk
    in system settings, the previous correct country after import now shows as "Afganistan"! - if i change that to great britain and regenerate the CA, the certs then have c=gb - so there appears to be a change here from older ASG versions - not sure it is relevent though..

    have tried re-applying from other saved config files - on all attempts everything seems to be fine apart from the l2tp/ipsec x509 certs just wont play ball - if it were an auth issue though surely something would be in a log??

    Mark
  • 0
    Mark, I think I'm out of my depth now.  I see that the packet filter blocks only occur after the attempt to establish a tunnel fails, but I don't understand how no other information would be available in the IPsec log.  Does the IPsec log even show that the IPsec process is started when you disable/enable L2TP/IPsec? (Assuming you don't have any other IPsec VPN enabled.)

    Cheers - Bob
  • 0
    if you disable/enable LT2P, nothing appears in the IPsec log.
    if you change from x509 to PSK or vice versa you see log entries... - it still looks like the l2tp daemon is asked to exit when changing to x509 as you see it nicely stopping in the logs!!

    (i'm betting you would see messages if you enable/disable L2TP when its set to PSK mode - i didnt try this though but should have with hindsight..)

    It's Monday morning now so people will shout if they cant work, so have put 7.505 back on the ASG and all VPN clients can once again connect no problem at all.. (in system settings in 7.505 you can set country to UK or GB!! so that kind of explains one of my earlier comments!)

    I will have to set up v8 on an ESX server here so i can play with it without disturbing people trying to work..

    Thanks for all your help so far though.. [:)]
  • 0
    Right - time to raise this topic again..... [:(]

    My ASG220 just got the option to upgrade to v8 - so did this to see if it works...... - still same issue...

    Since earlier conversations - actually found that there was a hardware fault - memory was bad, but you had to run a memory test for a good 30 minutes before it showed up...! - This is now all rectified - and the occasional astaro crash has completely dissapeared so very happy that this is sorted!!!

    anyhow - did the v8 upgrade - once again now everything works perfectly apart from l2tp/ipsec VPN connections...
    Windows just sits there with the "connecting to vpn" dialog - waits and waits then times out...

    created a new vpn account - installed the cert, created the connection - just the same - just waits to connect as if l2tp connections were blocked by firewall :-S (the site-to-site IPSEC connection works just fine though)

    Please help me!!!!? (i will buy you a pint if you can fix it!!)

    Mark
  • 0
    done a bit more digging - 


    Have done a v8 upgrade on our ASG220 (via the built-in upgrade option)  – everything works apart from our VPN connections…

    We use L2TP/IPSEC using x509 certificates.. – all worked fine with v7, not a bean under v8…

    If you change it to use pre-shared keys instead, then it connects just fine…
    If you change it back to using the local x509 cert then nothing appears in the ipsec log when a connection is attempted..
    Have also tried re-generating all the certs by updating the VPN signing CA – and alas this does not cure it..

    Incidentally, when in PSK mode – if you disable/enable l2TP/ipsec you see messages in the ipsec log of openl2tpd v1.6 starting and stopping etc…
    When it is configured to use certificates, starting/stopping l2tp/ipsec does not generate any messages in the ipsec log which looks a little odd to me…

    I logged on via ssh to have a quick look, under psk mode you can see openl2tp is running, but when you select to use x509 certs and hit apply, then openl2tp is missing from the list of running processes – surely it should be there?

    In summary, VPN via pptp, ssl and l2tp/ipsec using psk is all working fine – just using l2tp/ipsec with x509 auth does not
    (everything else about v8 seems to be working perfectly)
  • 0 in reply to profesor
    Sorry to hear you're affected. 

    It's a bug (#15216, jfyi) which will be fixed in ASG version 8.1. 

    L2TP was not enabled at all when X.509 based authentication was selected. Install any beta version 8.055 or greater and you'll be fine.