Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 1 subscriber
  • Views 24558 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[SOLVED] Vista/Win7 L2TP over IPSec Connection Issues

jshockley
Ok gang, I am feeling like a total noob right now. I have my Astaro up on v8.001 and things are going great for the most part. One thing I never could get going on v7 was L2TP over IPSec. So, I have decided to look at this again and my head is hurting from it hitting the wall so many times right now.

Let's start with my Astaro configuration:
l2tpconfig.JPG
As you can see, I am using my External interface with PSK and assigning address from the pool. I have pull my RAS group out and put my credentials in only.

I have set advanced RAS details used by my PPTP and SSL VPN connections as well.

Here is my Windows 7 configuration:
win7l2tp.JPG

Here is the log file I have seen when I tried to connect to my Astaro via L2TP: 
2010:08:19-16:05:12 asg pluto[7825]: | 

2010:08:19-16:05:12 asg pluto[7825]: | *received 384 bytes from 96.253.145.114:879 on eth0

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008]

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: ignoring Vendor ID payload [RFC 3947]

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: ignoring Vendor ID payload [FRAGMENTATION]

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: ignoring Vendor ID payload [Vid-Initial-Contact]

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: ignoring Vendor ID payload [IKE CGA version 1]

2010:08:19-16:05:12 asg pluto[7825]: | preparse_isakmp_policy: peer requests PSK authentication

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: initial Main Mode message received on 74.0.0.145:500 but no connection has been authorized with policy=PSK

2010:08:19-16:05:12 asg pluto[7825]: | next event EVENT_REINIT_SECRET in 3116 seconds


I see connection but the second to last line in the log says "initial Main Mode message received ... but no connection has been authorized with policy=PSK".

Any thoughts? I am loving the learning I am doing on the Astaro products and really do appreciate the help you all give us junior members.

*ponders if he can change his title in the Forum to "complete n00b"*

Jared


This thread was automatically locked due to age.
Parents
  • 0
    Bob,

    Firewall was on. Shut off and no joy. Turned on with lots of rules opening up L2TP - no joy.

    PSK changed to be longer - no joy. New logs though: 

    2010:08:20-14:26:42: | 

    2010:08:20-14:26:42: | *received 384 bytes from 96.253.145.114:879 on eth0

    2010:08:20-14:26:42: packet from 96.253.145.114:879: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008]

    2010:08:20-14:26:42: packet from 96.253.145.114:879: received Vendor ID payload [RFC 3947]

    2010:08:20-14:26:42: packet from 96.253.145.114:879: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]

    2010:08:20-14:26:42: packet from 96.253.145.114:879: ignoring Vendor ID payload [FRAGMENTATION]

    2010:08:20-14:26:42: packet from 96.253.145.114:879: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]

    2010:08:20-14:26:42: packet from 96.253.145.114:879: ignoring Vendor ID payload [Vid-Initial-Contact]

    2010:08:20-14:26:42: packet from 96.253.145.114:879: ignoring Vendor ID payload [IKE CGA version 1]

    2010:08:20-14:26:42: | preparse_isakmp_policy: peer requests PSK authentication

    2010:08:20-14:26:42: | instantiated "S_REF_jhwXqqbSmH_1" for 96.253.145.114

    2010:08:20-14:26:42: | creating state object #11 at 0x9477640

    2010:08:20-14:26:42: | ICOOKIE:  e1 6d bb 5c  d1 8b a1 1d

    2010:08:20-14:26:42: | RCOOKIE:  6b 47 9b a8  d7 2c db 4c

    2010:08:20-14:26:42: | peer:  60 fd 91 72

    2010:08:20-14:26:42: | state hash entry 14

    2010:08:20-14:26:42: | inserting event EVENT_SO_DISCARD, timeout in 0 seconds for #11

    2010:08:20-14:26:42: "S_REF_jhwXqqbSmH_1"[11] 96.253.145.114:879 #11: responding to Main Mode from unknown peer 96.253.145.114:879

    2010:08:20-14:26:42: "S_REF_jhwXqqbSmH_1"[11] 96.253.145.114:879 #11: ECP_384 is not supported.  Attribute OAKLEY_GROUP_DESCRIPTION

    2010:08:20-14:26:42: "S_REF_jhwXqqbSmH_1"[11] 96.253.145.114:879 #11: ECP_256 is not supported.  Attribute OAKLEY_GROUP_DESCRIPTION

    2010:08:20-14:26:42: | inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #11

    2010:08:20-14:26:42: | next event EVENT_RETRANSMIT in 10 seconds for #11

    2010:08:20-14:26:43: | 

    2010:08:20-14:26:43: | *received 388 bytes from 96.253.145.114:879 on eth0

    2010:08:20-14:26:43: | ICOOKIE:  e1 6d bb 5c  d1 8b a1 1d

    2010:08:20-14:26:43: | RCOOKIE:  6b 47 9b a8  d7 2c db 4c

    2010:08:20-14:26:43: | peer:  60 fd 91 72

    2010:08:20-14:26:43: | state hash entry 14

    2010:08:20-14:26:43: | state object #11 found, in STATE_MAIN_R1

    2010:08:20-14:26:43: "S_REF_jhwXqqbSmH_1"[11] 96.253.145.114:879 #11: NAT-Traversal: Result using RFC 3947: peer is NATed

    2010:08:20-14:26:43: | inserting event EVENT_NAT_T_KEEPALIVE, timeout in 60 seconds

    2010:08:20-14:26:43: | inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #11

    2010:08:20-14:26:43: | next event EVENT_RETRANSMIT in 10 seconds for #11

    2010:08:20-14:26:43: | 

    2010:08:20-14:26:43: | *received 76 bytes from 96.253.145.114:57616 on eth0

    2010:08:20-14:26:43: | ICOOKIE:  e1 6d bb 5c  d1 8b a1 1d

    2010:08:20-14:26:43: | RCOOKIE:  6b 47 9b a8  d7 2c db 4c

    2010:08:20-14:26:43: | peer:  60 fd 91 72

    2010:08:20-14:26:43: | state hash entry 14

    2010:08:20-14:26:43: | state object #11 found, in STATE_MAIN_R2

    2010:08:20-14:26:43: "S_REF_jhwXqqbSmH_1"[11] 96.253.145.114:879 #11: Peer ID is ID_IPV4_ADDR: '192.168.1.3'

    2010:08:20-14:26:43: | peer CA:      %none

    2010:08:20-14:26:43: | offered CA:   %none

    2010:08:20-14:26:43: | switched from "S_REF_jhwXqqbSmH_1" to "S_REF_jhwXqqbSmH_1"

    2010:08:20-14:26:43: | instantiated "S_REF_jhwXqqbSmH_1" for 96.253.145.114

    2010:08:20-14:26:43: "S_REF_jhwXqqbSmH_1"[12] 96.253.145.114:879 #11: deleting connection "S_REF_jhwXqqbSmH_1" instance with peer 96.253.145.114 {isakmp=#0/ipsec=#0}

    2010:08:20-14:26:43: | NAT-T: new mapping 96.253.145.114:879/57616)

    2010:08:20-14:26:43: | inserting event EVENT_SA_EXPIRE, timeout in 28800 seconds for #11

    2010:08:20-14:26:43: "S_REF_jhwXqqbSmH_1"[12] 96.253.145.114:57616 #11: sent MR3, ISAKMP SA established

    2010:08:20-14:26:43: | next event EVENT_NAT_T_KEEPALIVE in 60 seconds

    2010:08:20-14:26:43: | 

    2010:08:20-14:26:43: | *received 220 bytes from 96.253.145.114:57616 on eth0

    2010:08:20-14:26:43: | ICOOKIE:  e1 6d bb 5c  d1 8b a1 1d

    2010:08:20-14:26:43: | RCOOKIE:  6b 47 9b a8  d7 2c db 4c

    2010:08:20-14:26:43: | peer:  60 fd 91 72

    2010:08:20-14:26:43: | state hash entry 14

    2010:08:20-14:26:43: | state object not found

    2010:08:20-14:26:43: | ICOOKIE:  e1 6d bb 5c  d1 8b a1 1d

    2010:08:20-14:26:43: | RCOOKIE:  6b 47 9b a8  d7 2c db 4c

    2010:08:20-14:26:43: | peer:  60 fd 91 72

    2010:08:20-14:26:43: | state hash entry 14

    2010:08:20-14:26:43: | state object #11 found, in STATE_MAIN_R3

    2010:08:20-14:26:43: | peer client is 192.168.1.3

    2010:08:20-14:26:43: | peer client protocol/port is 17/1701

    2010:08:20-14:26:43: | our client is 74.93.36.145

    2010:08:20-14:26:43: | our client protocol/port is 17/1701

    2010:08:20-14:26:43: | instantiated "S_REF_jhwXqqbSmH_0" for 96.253.145.114

    2010:08:20-14:26:43: | using connection "S_REF_jhwXqqbSmH_0"

    2010:08:20-14:26:43: | duplicating state object #11

    2010:08:20-14:26:43: | creating state object #12 at 0x9478bc8

    2010:08:20-14:26:43: | ICOOKIE:  e1 6d bb 5c  d1 8b a1 1d

    2010:08:20-14:26:43: | RCOOKIE:  6b 47 9b a8  d7 2c db 4c

    2010:08:20-14:26:43: | peer:  60 fd 91 72

    2010:08:20-14:26:43: | state hash entry 14

    2010:08:20-14:26:43: | inserting event EVENT_SO_DISCARD, timeout in 0 seconds for #12

    2010:08:20-14:26:43: "S_REF_jhwXqqbSmH_0"[6] 96.253.145.114:57616 #12: NAT-Traversal: received 2 NAT-OA. using first, ignoring others

    2010:08:20-14:26:43: "S_REF_jhwXqqbSmH_0"[6] 96.253.145.114:57616 #12: IPSec Transform [NULL (0), HMAC_SHA1] refused due to insecure key_len and enc. alg. not listed in "esp" string

    2010:08:20-14:26:43: "S_REF_jhwXqqbSmH_0"[6] 96.253.145.114:57616 #12: no acceptable Proposal in IPsec SA

    2010:08:20-14:26:43: "S_REF_jhwXqqbSmH_0"[6] 96.253.145.114:57616 #12: sending encrypted notification NO_PROPOSAL_CHOSEN to 96.253.145.114:57616

    2010:08:20-14:26:43: | state transition function for STATE_QUICK_R0 failed: NO_PROPOSAL_CHOSEN

    2010:08:20-14:26:43: | next event EVENT_SO_DISCARD in 0 seconds for #12

    2010:08:20-14:26:43: | 

    2010:08:20-14:26:43: | *time to handle event

    2010:08:20-14:26:43: | event after this is EVENT_NAT_T_KEEPALIVE in 60 seconds

    2010:08:20-14:26:43: | ICOOKIE:  e1 6d bb 5c  d1 8b a1 1d

    2010:08:20-14:26:43: | RCOOKIE:  6b 47 9b a8  d7 2c db 4c

    2010:08:20-14:26:43: | peer:  60 fd 91 72

    2010:08:20-14:26:43: | state hash entry 14

    2010:08:20-14:26:43: "S_REF_jhwXqqbSmH_0"[6] 96.253.145.114:57616: deleting connection "S_REF_jhwXqqbSmH_0" instance with peer 96.253.145.114 {isakmp=#0/ipsec=#0}

    2010:08:20-14:26:43: | next event EVENT_NAT_T_KEEPALIVE in 60 seconds

    2010:08:20-14:26:45: | 

    2010:08:20-14:26:45: | *received 220 bytes from 96.253.145.114:57616 on eth0

    2010:08:20-14:26:45: | ICOOKIE:  e1 6d bb 5c  d1 8b a1 1d

    2010:08:20-14:26:45: | RCOOKIE:  6b 47 9b a8  d7 2c db 4c

    2010:08:20-14:26:45: | peer:  60 fd 91 72

    2010:08:20-14:26:45: | state hash entry 14

    2010:08:20-14:26:45: | state object not found

    2010:08:20-14:26:45: | ICOOKIE:  e1 6d bb 5c  d1 8b a1 1d

    2010:08:20-14:26:45: | RCOOKIE:  6b 47 9b a8  d7 2c db 4c

    2010:08:20-14:26:45: | peer:  60 fd 91 72

    2010:08:20-14:26:45: | state hash entry 14

    2010:08:20-14:26:45: | state object #11 found, in STATE_MAIN_R3

    2010:08:20-14:26:45: "S_REF_jhwXqqbSmH_1"[12] 96.253.145.114:57616 #11: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)

    2010:08:20-14:26:45: "S_REF_jhwXqqbSmH_1"[12] 96.253.145.114:57616 #11: sending encrypted notification INVALID_MESSAGE_ID to 96.253.145.114:57616

    2010:08:20-14:26:45: | next event EVENT_NAT_T_KEEPALIVE in 58 seconds

    2010:08:20-14:26:48: | 

    2010:08:20-14:27:00: | *received 220 bytes from 96.253.145.114:57616 on eth0

    2010:08:20-14:27:00: | ICOOKIE:  e1 6d bb 5c  d1 8b a1 1d

    2010:08:20-14:27:00: | RCOOKIE:  6b 47 9b a8  d7 2c db 4c

    2010:08:20-14:27:00: | peer:  60 fd 91 72

    2010:08:20-14:27:00: | state hash entry 14

    2010:08:20-14:27:00: | state object not found

    2010:08:20-14:27:00: | ICOOKIE:  e1 6d bb 5c  d1 8b a1 1d

    2010:08:20-14:27:00: | RCOOKIE:  6b 47 9b a8  d7 2c db 4c

    2010:08:20-14:27:00: | peer:  60 fd 91 72

    2010:08:20-14:27:00: | state hash entry 14

    2010:08:20-14:27:00: | state object #11 found, in STATE_MAIN_R3

    2010:08:20-14:27:00: "S_REF_jhwXqqbSmH_1"[12] 96.253.145.114:57616 #11: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)

    2010:08:20-14:27:00: "S_REF_jhwXqqbSmH_1"[12] 96.253.145.114:57616 #11: sending encrypted notification INVALID_MESSAGE_ID to 96.253.145.114:57616

    2010:08:20-14:27:00: | next event EVENT_NAT_T_KEEPALIVE in 43 seconds

    2010:08:20-14:27:14: | 


    Anything else we can try or should I just give up?

    Jared
  • 0 in reply to jshockley
    Hi Jared,

    I see your external interface is called 'External 145'.  Are you using more than one external interface in conjunction with an 'Uplink balancing' - 'Multipath' configuration?

    If so, is the 'External 145' interface at the top of the list of 'Interfaces' on the 'Interfaces'->'Uplink balancing' configuration screen?


    I'll be happy to help you track down and fix the issues that remain.  This type of VPN is so useful and flexible for remote dial-in clients. If it would help, perhaps we could work together to fix the issues that you currently have. You could try dialing in to my fully configured ASG, to see if your client config is 'sound'. And then perhaps you'd find it useful to login and browse my ASG configuration.

    Regards,
    Ed.
  • 0 in reply to eFrisky
    Hey Ed. Thanks for the help.



    I see your external interface is called 'External 145'.  Are you using more than one external interface in conjunction with an 'Uplink balancing' - 'Multipath' configuration?


    No, they are not in a multipath or uplink balance. They are multiple IP addresses on the same interface.



    I'll be happy to help you track down and fix the issues that remain.  This type of VPN is so useful and flexible for remote dial-in clients. If it would help, perhaps we could work together to fix the issues that you currently have. You could try dialing in to my fully configured ASG, to see if your client config is 'sound'. And then perhaps you'd find it useful to login and browse my ASG configuration.

    Regards,
    Ed.


    That would be helpful. I really can't tell if it is my ASG config or my Windows config that is holding me back. If you want, DM me on here and we can chat on how to do that.

    Jared
  • 0 in reply to jshockley
    I am getting the same issue i am running ASG V8 and have two WAN is there something i need to change please help
Reply Children
No Data