Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 1 subscriber
  • Views 24535 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[SOLVED] Vista/Win7 L2TP over IPSec Connection Issues

jshockley
Ok gang, I am feeling like a total noob right now. I have my Astaro up on v8.001 and things are going great for the most part. One thing I never could get going on v7 was L2TP over IPSec. So, I have decided to look at this again and my head is hurting from it hitting the wall so many times right now.

Let's start with my Astaro configuration:
l2tpconfig.JPG
As you can see, I am using my External interface with PSK and assigning address from the pool. I have pull my RAS group out and put my credentials in only.

I have set advanced RAS details used by my PPTP and SSL VPN connections as well.

Here is my Windows 7 configuration:
win7l2tp.JPG

Here is the log file I have seen when I tried to connect to my Astaro via L2TP: 
2010:08:19-16:05:12 asg pluto[7825]: | 

2010:08:19-16:05:12 asg pluto[7825]: | *received 384 bytes from 96.253.145.114:879 on eth0

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008]

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: ignoring Vendor ID payload [RFC 3947]

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: ignoring Vendor ID payload [FRAGMENTATION]

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: ignoring Vendor ID payload [Vid-Initial-Contact]

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: ignoring Vendor ID payload [IKE CGA version 1]

2010:08:19-16:05:12 asg pluto[7825]: | preparse_isakmp_policy: peer requests PSK authentication

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: initial Main Mode message received on 74.0.0.145:500 but no connection has been authorized with policy=PSK

2010:08:19-16:05:12 asg pluto[7825]: | next event EVENT_REINIT_SECRET in 3116 seconds


I see connection but the second to last line in the log says "initial Main Mode message received ... but no connection has been authorized with policy=PSK".

Any thoughts? I am loving the learning I am doing on the Astaro products and really do appreciate the help you all give us junior members.

*ponders if he can change his title in the Forum to "complete n00b"*

Jared


This thread was automatically locked due to age.
  • 0
    Ok ... also saw the KB article about Windows 7 and both services were started and both are set to Automatic.
  • 0 in reply to jshockley
    Your setup looks ok, here is a step by step guide for v7 which is pretty much the same for v8. https://support.astaro.com/support/images/6/63/228436.pdf

    Any special reason you are doing L2TP over IPsec besides just learning?

    Edit: I believe the KB article that you mention is for internal windows 7 clients dialing out. 

    My log looks like this when I try connecting via iphone using PSK 

    2010:08:20-00:03:14 gatekeeper pluto[32594]: | NAT-T: new mapping 166.205.xx.xx:23452/22841)

    2010:08:20-00:03:14 gatekeeper pluto[32594]: "S_REF_dRKYdYpneg_1"[4] 166.205.xx.xx:22841 #3: sent MR3, ISAKMP SA established

    2010:08:20-00:03:14 gatekeeper pluto[32594]: "S_REF_dRKYdYpneg_1"[4] 166.205.xx.xx:22841 #3: ignoring informational payload, type IPSEC_INITIAL_CONTACT

    2010:08:20-00:03:15 gatekeeper pluto[32594]: "S_REF_dRKYdYpneg_0"[1] 166.205.xx.xx:22841 #4: NAT-Traversal: received 2 NAT-OA. using first, ignoring others

    2010:08:20-00:03:15 gatekeeper pluto[32594]: "S_REF_dRKYdYpneg_0"[1] 166.205.xx.xx:22841 #4: responding to Quick Mode

    2010:08:20-00:03:16 gatekeeper pluto[32594]: "S_REF_dRKYdYpneg_0"[1] 166.205.xx.xx:22841 #4: Dead Peer Detection (RFC 3706) enabled

    2010:08:20-00:03:16 gatekeeper pluto[32594]: "S_REF_dRKYdYpneg_0"[1] 166.205.xx.xx:22841 #4: IPsec SA established {ESP=>0x07703ff5 
  • 0
    Billybob,

    I have been having PPTP issue and it appears that SSL VPN is a split tunnel, which I don't want as I want all traffic through the VPN for security reasons. I also want to learn. I followed that KB article to set things up and nothing is working as expected. Is there something I am missing?

    Jared
  • 0
    Jared, in configuring the Win7 L2TP client, did you uncheck 'Require data encryption' on the 'Security' tab?

    In the SSL VPN, when you have only "Internal (Network)" in 'Local networks', the client configuration is for a split tunnel.  If you want all traffic to go via the VPN, add "Internet" to 'Local networks'. and download the client configuration anew.

    Cheers - Bob
  • 0 in reply to BAlfson
    @Jared, Bob has a lot of experience setting up these things since he works with business clients. I mainly use ppptp since the client has been built in windows forever. The setup is simple and its moslty just as secure as any other vpn solution. As long as the connecting subnets don't overlap, there is hardly any configuration required to set up a tunnel.

    Good luck.
    Regards
    Bill.
  • 0
    Bob,

    L2TP Setup - Yanno, there are days where I feel I need to go back to grade school and just learn to read again! I just re-read the setup article pointed to me by Billybob. I kept saying, see it says to enable that. But when actually really reading it, it says to disable. *facepalm #6 this week*

    SSL VPN - Will update that config and verify. I like the SSL VPN as a backup for the others.

    Thanks a ton Bob. Guys like you help keep this BB a valuable resource.

    Jared
  • 0
    Hey guys,

    Just got the settings set and here's the answers:

    SSL VPN - Working like a charm! Thanks Bob for that.

    L2TP - No affect [:(] Here are the logs from the Astaro on this connect attempt: 
    2010:08:20-09:21:39 asg pluto[7825]: | 

    2010:08:20-09:21:39 asg pluto[7825]: | *received 384 bytes from 68.178.109.243:997 on eth0

    2010:08:20-09:21:39 asg pluto[7825]: packet from 68.178.109.243:997: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008]

    2010:08:20-09:21:39 asg pluto[7825]: packet from 68.178.109.243:997: ignoring Vendor ID payload [RFC 3947]

    2010:08:20-09:21:39 asg pluto[7825]: packet from 68.178.109.243:997: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]

    2010:08:20-09:21:39 asg pluto[7825]: packet from 68.178.109.243:997: ignoring Vendor ID payload [FRAGMENTATION]

    2010:08:20-09:21:39 asg pluto[7825]: packet from 68.178.109.243:997: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]

    2010:08:20-09:21:39 asg pluto[7825]: packet from 68.178.109.243:997: ignoring Vendor ID payload [Vid-Initial-Contact]

    2010:08:20-09:21:39 asg pluto[7825]: packet from 68.178.109.243:997: ignoring Vendor ID payload [IKE CGA version 1]

    2010:08:20-09:21:39 asg pluto[7825]: | preparse_isakmp_policy: peer requests PSK authentication

    2010:08:20-09:21:39 asg pluto[7825]: packet from 68.178.109.243:997: initial Main Mode message received on 74.0.0.145:500 but no connection has been authorized with policy=PSK

    2010:08:20-09:21:39 asg pluto[7825]: | next event EVENT_REINIT_SECRET in 2129 seconds


    Looks like there is no change in the L2TP. It looked the same to me in Windows as far as the connection feedback. Any other ideas? Do I need to put entries in the "IPSec" area? I figured that was for static IPSec tunnels and not L2TP over IPSec.

    Also, this all came around the fact that I seem to not be able to view HTTPS over PPTP and was told that I should move to L2TP over IPSec instead. I have SSL VPN setup for those locations where PPTP appears to be blocked or not passed through.

    I do appreciate the help and the "schooling"!

    Jared
  • 0
    In IPsec, on the 'Advanced' tab, make sure you have 'NAT traversal' selected.  I don't think that's the issue here, but I think that it is something that can affect L2TP.

    Try using a new, simple PSK just to check that that's not the issue.

    Cheers - Bob
  • 0
    Ok Bob, I will try the simple PSK. Also, should the Interface be my external Interface on the L2TP -> Global page? Just want to validate that.

    Jared
  • 0
    Also, should the Interface be my external Interface on the L2TP -> Global page?

    Correctomundo!