Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 1 subscriber
  • Views 24554 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[SOLVED] Vista/Win7 L2TP over IPSec Connection Issues

jshockley
Ok gang, I am feeling like a total noob right now. I have my Astaro up on v8.001 and things are going great for the most part. One thing I never could get going on v7 was L2TP over IPSec. So, I have decided to look at this again and my head is hurting from it hitting the wall so many times right now.

Let's start with my Astaro configuration:
l2tpconfig.JPG
As you can see, I am using my External interface with PSK and assigning address from the pool. I have pull my RAS group out and put my credentials in only.

I have set advanced RAS details used by my PPTP and SSL VPN connections as well.

Here is my Windows 7 configuration:
win7l2tp.JPG

Here is the log file I have seen when I tried to connect to my Astaro via L2TP: 
2010:08:19-16:05:12 asg pluto[7825]: | 

2010:08:19-16:05:12 asg pluto[7825]: | *received 384 bytes from 96.253.145.114:879 on eth0

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008]

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: ignoring Vendor ID payload [RFC 3947]

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: ignoring Vendor ID payload [FRAGMENTATION]

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: ignoring Vendor ID payload [Vid-Initial-Contact]

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: ignoring Vendor ID payload [IKE CGA version 1]

2010:08:19-16:05:12 asg pluto[7825]: | preparse_isakmp_policy: peer requests PSK authentication

2010:08:19-16:05:12 asg pluto[7825]: packet from 96.0.0.114:879: initial Main Mode message received on 74.0.0.145:500 but no connection has been authorized with policy=PSK

2010:08:19-16:05:12 asg pluto[7825]: | next event EVENT_REINIT_SECRET in 3116 seconds


I see connection but the second to last line in the log says "initial Main Mode message received ... but no connection has been authorized with policy=PSK".

Any thoughts? I am loving the learning I am doing on the Astaro products and really do appreciate the help you all give us junior members.

*ponders if he can change his title in the Forum to "complete n00b"*

Jared


This thread was automatically locked due to age.
Parents
  • 0
    Thanks, Chris!  I think what this showed was that the XP setting doesn't disable encryption and that it is the same as the "Optional" setting in Vista/Win7.  In XP, that setting was a requirement for the VPN Client to be able to connect with Astaro's IPsec server (strongSwan).

    [a few minutes later]
    I just experimented in Win7 with the other possible choices, and the only one that fails is the "No encryption allowed" setting that results in the "IPsec Transform ... refused" message in the log file, so I'll modify my original post.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks, Chris!  I think what this showed was that the XP setting doesn't disable encryption and that it is the same as the "Optional" setting in Vista/Win7.  In XP, that setting was a requirement for the VPN Client to be able to connect with Astaro's IPsec server (strongSwan).

    [a few minutes later]
    I just experimented in Win7 with the other possible choices, and the only one that fails is the "No encryption allowed" setting that results in the "IPsec Transform ... refused" message in the log file, so I'll modify my original post.

    Cheers - Bob


    Ah, so I was looking at it backwards.  Makes sense!
Reply
  • 0 in reply to BAlfson
    Thanks, Chris!  I think what this showed was that the XP setting doesn't disable encryption and that it is the same as the "Optional" setting in Vista/Win7.  In XP, that setting was a requirement for the VPN Client to be able to connect with Astaro's IPsec server (strongSwan).

    [a few minutes later]
    I just experimented in Win7 with the other possible choices, and the only one that fails is the "No encryption allowed" setting that results in the "IPsec Transform ... refused" message in the log file, so I'll modify my original post.

    Cheers - Bob


    Ah, so I was looking at it backwards.  Makes sense!
Children
  • 0 in reply to ChristopherRuh
    My problem goes back to my original post. I can't get any encryption setting to work with L2TP over IPSec, Windows 7 (or 8), and Astaro. I continue to get errors on the Windows Client and the same logs like I did before. Am I not doing it right? I followed all of the steps listed. I am about to try certificate security, which scares the hell out of me as far as management, or dumping VPN through my Astaro and work on DirectAccess with Windows 2012 Server.

    Jared