Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 2991 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bintec VPN Access 5 and Astaro V7 - Site-to-Site won't work

Seelbreaker
Hello there [:)]

We have an Astaro V7 Appliance and one of our new customers has an Bintec VPN Access 5. I wanted to create a site-to-site vpn between them but it failed to connect. I only get from my debug logs (no proposal choosen)... i'm also wondering why i cannot enter a fully qualified username as the vpn-id...

Since it would be better for the understanding i made some screenshots. Hopefully someone could help me because in the near future we get more customers with these bintec gateways...

VPN Access 5 Screenshots:
Peer Config:
/cfs-file/__key/communityserver-discussions-components-files/58/VPN-Peer-Config.png

Phase 1
/cfs-file/__key/communityserver-discussions-components-files/58/VPN-Phase-1.png

Phase 2
/cfs-file/__key/communityserver-discussions-components-files/58/VPN-Phase-2.png



Astaro V7 Screenshots:
Gateway config:
/cfs-file/__key/communityserver-discussions-components-files/58/Gateway-WIBA.png

IPsec Policy
/cfs-file/__key/communityserver-discussions-components-files/58/IPsec-Policy-Wiba.png

IPsec Settings
http://img823.imageshack.us/img823/1781/ipsecwiba.png


Our network is: 192.168.10.0/24

The customers network is: 192.168.12.0/24

NAT is enabled on the Router. The Virtual Interface which is shown at the Bintec-Screenshot has the IP 192.168.13.17/32

Thank you in advance for reading it and for your answers!


:Edit: Forget to mention that i could open the VPN to our customer with the Bintec-IPSec Client.

Regards
Seelbreaker


This thread was automatically locked due to age.
Parents
  • 0
    Bruce is a Wizard!  OK, how did you know that from the log provided? Was it because it died while negotiating Main Mode?

    Ahhh, I see now that I missed that in the Phase 1 Bintec picture.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hello and thanks for your answers!

    Ok, i've changed to main mode (aggressive was something we used in my earlier company). After that i got again messages which where about "NO Proposal choosen"
    after looking around a bit with google i found out it has to be something with the phase 1 and phase 2 policys. So i changed them to Blowfish/MD5 on the bintec and the ASG and now i get another logs where it is saying that the Informational Exchange message must be encrypted...


    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: initiating Main Mode to replace #7
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: ignoring Vendor ID payload [0048e2270bea8395ed778d343cc2a076]
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: ignoring Vendor ID payload [5cbeb399eb835a7d7a2eb495905db061]
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: ignoring Vendor ID payload [810fa565f8ab14369105d706fbd57279]
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: enabling possible NAT-traversal with method RFC 3947
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: Informational Exchange message must be encrypted
    2010:11:12-09:22:12 LIB-AST-01 pluto[24112]: "S_WIBA" #8: Informational Exchange message must be encrypted
    2010:11:12-09:22:32 LIB-AST-01 pluto[24112]: "S_WIBA" #8: Informational Exchange message must be encrypted
    2010:11:12-09:23:12 LIB-AST-01 pluto[24112]: "S_WIBA" #8: max number of retransmissions (2) reached STATE_MAIN_I2 


    Edit: i also retyped the PSK, just to be sure that i do not have a typo in there.

    Btw. here is a log from the bintec:


    wibarouter:> debug ipsec
    20:02:48 DEBUG/IPSEC: P1: peer 0 () sa 710 (R): new ip 84.151.148.166 


    and now im totally curios since the bintec says the authentification failed...

    Ok the authentificatoin says that it failed because of the ip... now i wonder how could i tell the ASG that it should use the dyndns-name as the vpn-id? (if this would sove the problem).

    Regards
    Seelbreaker
Reply
  • 0 in reply to BAlfson
    Hello and thanks for your answers!

    Ok, i've changed to main mode (aggressive was something we used in my earlier company). After that i got again messages which where about "NO Proposal choosen"
    after looking around a bit with google i found out it has to be something with the phase 1 and phase 2 policys. So i changed them to Blowfish/MD5 on the bintec and the ASG and now i get another logs where it is saying that the Informational Exchange message must be encrypted...


    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: initiating Main Mode to replace #7
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: ignoring Vendor ID payload [0048e2270bea8395ed778d343cc2a076]
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: ignoring Vendor ID payload [5cbeb399eb835a7d7a2eb495905db061]
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: ignoring Vendor ID payload [810fa565f8ab14369105d706fbd57279]
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: enabling possible NAT-traversal with method RFC 3947
    2010:11:12-09:22:02 LIB-AST-01 pluto[24112]: "S_WIBA" #8: Informational Exchange message must be encrypted
    2010:11:12-09:22:12 LIB-AST-01 pluto[24112]: "S_WIBA" #8: Informational Exchange message must be encrypted
    2010:11:12-09:22:32 LIB-AST-01 pluto[24112]: "S_WIBA" #8: Informational Exchange message must be encrypted
    2010:11:12-09:23:12 LIB-AST-01 pluto[24112]: "S_WIBA" #8: max number of retransmissions (2) reached STATE_MAIN_I2 


    Edit: i also retyped the PSK, just to be sure that i do not have a typo in there.

    Btw. here is a log from the bintec:


    wibarouter:> debug ipsec
    20:02:48 DEBUG/IPSEC: P1: peer 0 () sa 710 (R): new ip 84.151.148.166 


    and now im totally curios since the bintec says the authentification failed...

    Ok the authentificatoin says that it failed because of the ip... now i wonder how could i tell the ASG that it should use the dyndns-name as the vpn-id? (if this would sove the problem).

    Regards
    Seelbreaker
Children
No Data