Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 2989 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bintec VPN Access 5 and Astaro V7 - Site-to-Site won't work

Seelbreaker
Hello there [:)]

We have an Astaro V7 Appliance and one of our new customers has an Bintec VPN Access 5. I wanted to create a site-to-site vpn between them but it failed to connect. I only get from my debug logs (no proposal choosen)... i'm also wondering why i cannot enter a fully qualified username as the vpn-id...

Since it would be better for the understanding i made some screenshots. Hopefully someone could help me because in the near future we get more customers with these bintec gateways...

VPN Access 5 Screenshots:
Peer Config:
/cfs-file/__key/communityserver-discussions-components-files/58/VPN-Peer-Config.png

Phase 1
/cfs-file/__key/communityserver-discussions-components-files/58/VPN-Phase-1.png

Phase 2
/cfs-file/__key/communityserver-discussions-components-files/58/VPN-Phase-2.png



Astaro V7 Screenshots:
Gateway config:
/cfs-file/__key/communityserver-discussions-components-files/58/Gateway-WIBA.png

IPsec Policy
/cfs-file/__key/communityserver-discussions-components-files/58/IPsec-Policy-Wiba.png

IPsec Settings
http://img823.imageshack.us/img823/1781/ipsecwiba.png


Our network is: 192.168.10.0/24

The customers network is: 192.168.12.0/24

NAT is enabled on the Router. The Virtual Interface which is shown at the Bintec-Screenshot has the IP 192.168.13.17/32

Thank you in advance for reading it and for your answers!


:Edit: Forget to mention that i could open the VPN to our customer with the Bintec-IPSec Client.

Regards
Seelbreaker


This thread was automatically locked due to age.
  • 0
    Hi, and welcome to the User BB!

    In the Astaro, you have AES-123/MD5 in both parts of the policy, but in the Bintec, you have 19 and 23.  I don't know the Bintec, so I don't know what that means.  Perhaps you could post the Astaro IPsec log from the point at which you enable the IPsec connection.

    Cheers - Bob
  • 0
    Hello Bob!

    Thank you [:)]

    Here you have the log made from the astaro Live-Protokoll after enabling the VPN. The numbers which are standing before the alghoryhtm is just an index-number wich the bintec uses.

    Here you have the logfile (without special loggin functions):


    Live-Protokoll: IPSec-VPN 
    Filter: 
    Autoscroll
    2010:11:11-13:53:35 LIB-AST-01 pluto[24112]: "S_WIBA" #1: deleting state (STATE_MAIN_I1)
    2010:11:11-13:53:35 LIB-AST-01 pluto[24112]: forgetting secrets
    2010:11:11-13:53:35 LIB-AST-01 pluto[24112]: loading secrets from "/etc/ipsec.secrets"
    2010:11:11-13:53:35 LIB-AST-01 pluto[24112]: loaded shared key for 0.0.0.0 88.217.155.151
    2010:11:11-13:53:35 LIB-AST-01 pluto[24112]: loaded shared key for 0.0.0.0 88.217.155.151
    2010:11:11-13:53:35 LIB-AST-01 pluto[24112]: Changing to directory '/etc/ipsec.d/cacerts'
    2010:11:11-13:53:35 LIB-AST-01 pluto[24112]: loaded CA cert file 'VPN Signing CA.pem' (3113 bytes)
    2010:11:11-13:53:35 LIB-AST-01 pluto[24112]: Changing to directory '/etc/ipsec.d/aacerts'
    2010:11:11-13:53:35 LIB-AST-01 pluto[24112]: Changing to directory '/etc/ipsec.d/ocspcerts'
    2010:11:11-13:53:35 LIB-AST-01 pluto[24112]: Changing to directory '/etc/ipsec.d/crls'
    2010:11:11-13:53:39 LIB-AST-01 pluto[24112]: added connection description "S_WIBA"
    2010:11:11-13:53:39 LIB-AST-01 pluto[24112]: "S_WIBA" #2: initiating Main Mode
    2010:11:11-13:53:39 LIB-AST-01 pluto[24112]: forgetting secrets
    2010:11:11-13:53:39 LIB-AST-01 pluto[24112]: loading secrets from "/etc/ipsec.secrets"
    2010:11:11-13:53:39 LIB-AST-01 pluto[24112]: loaded shared key for 84.151.148.166 88.217.155.151
    2010:11:11-13:53:39 LIB-AST-01 pluto[24112]: loaded shared key for 0.0.0.0 88.217.155.151
    2010:11:11-13:53:39 LIB-AST-01 pluto[24112]: loaded shared key for 0.0.0.0 88.217.155.151
    2010:11:11-13:53:39 LIB-AST-01 pluto[24112]: Changing to directory '/etc/ipsec.d/cacerts'
    2010:11:11-13:53:39 LIB-AST-01 pluto[24112]: loaded CA cert file 'VPN Signing CA.pem' (3113 bytes)
    2010:11:11-13:53:39 LIB-AST-01 pluto[24112]: Changing to directory '/etc/ipsec.d/aacerts'
    2010:11:11-13:53:39 LIB-AST-01 pluto[24112]: Changing to directory '/etc/ipsec.d/ocspcerts'
    2010:11:11-13:53:39 LIB-AST-01 pluto[24112]: Changing to directory '/etc/ipsec.d/crls'
    2010:11:11-13:53:39 LIB-AST-01 pluto[24112]: packet from 84.151.148.166:500: ignoring informational payload, type NO_PROPOSAL_CHOSEN
    2010:11:11-13:53:49 LIB-AST-01 pluto[24112]: packet from 84.151.148.166:500: ignoring informational payload, type NO_PROPOSAL_CHOSEN
    2010:11:11-13:54:09 LIB-AST-01 pluto[24112]: packet from 84.151.148.166:500: ignoring informational payload, type NO_PROPOSAL_CHOSEN
    2010:11:11-13:54:49 LIB-AST-01 pluto[24112]: packet from 84.151.148.166:500: ignoring informational payload, type NO_PROPOSAL_CHOSEN


    If you wish a more detailed log please tell me which error-functions i should enable.

    Thanks and Regards
    Seelbreaker
  • 0 in reply to Seelbreaker
    Turn off Aggressive Mode on the other box; Main Mode is what is supported on ASG, Aggressive mode has some security flaws.
  • 0
    Bruce is a Wizard!  OK, how did you know that from the log provided? Was it because it died while negotiating Main Mode?

    Ahhh, I see now that I missed that in the Phase 1 Bintec picture.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hello and thanks for your answers!

    Ok, i've changed to main mode (aggressive was something we used in my earlier company). After that i got again messages which where about "NO Proposal choosen"
    after looking around a bit with google i found out it has to be something with the phase 1 and phase 2 policys. So i changed them to Blowfish/MD5 on the bintec and the ASG and now i get another logs where it is saying that the Informational Exchange message must be encrypted...


    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: initiating Main Mode to replace #7
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: ignoring Vendor ID payload [0048e2270bea8395ed778d343cc2a076]
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: ignoring Vendor ID payload [5cbeb399eb835a7d7a2eb495905db061]
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: ignoring Vendor ID payload [810fa565f8ab14369105d706fbd57279]
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: enabling possible NAT-traversal with method RFC 3947
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: Informational Exchange message must be encrypted
    2010:11:12-09:22:12 LIB-AST-01 pluto[24112]: "S_WIBA" #8: Informational Exchange message must be encrypted
    2010:11:12-09:22:32 LIB-AST-01 pluto[24112]: "S_WIBA" #8: Informational Exchange message must be encrypted
    2010:11:12-09:23:12 LIB-AST-01 pluto[24112]: "S_WIBA" #8: max number of retransmissions (2) reached STATE_MAIN_I2 


    Edit: i also retyped the PSK, just to be sure that i do not have a typo in there.

    Btw. here is a log from the bintec:


    wibarouter:> debug ipsec
    20:02:48 DEBUG/IPSEC: P1: peer 0 () sa 710 (R): new ip 84.151.148.166 


    and now im totally curios since the bintec says the authentification failed...

    Ok the authentificatoin says that it failed because of the ip... now i wonder how could i tell the ASG that it should use the dyndns-name as the vpn-id? (if this would sove the problem).

    Regards
    Seelbreaker
  • 0
    Ok this can be closed ^^ I have entered in the Bintec not the entire Subnet as the Remote IP and some peer-Settings where wrong... need to test it if dyndns will work otherwise i have to check if the customer could get an wan-ip...