Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 2069 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Upgraded to v8, VPN (IPSec) fails

jlbrown
I upgraded Astaro (software on own box) from 7.508 to 8.003. Everything worked as before except VPN. Now when I try to connect from my home computer I get:

The log of my VPN Client (VPN Tracker) shows:

23:47:14 Phase 2 Started
23:47:14 Next step: Processing connectiond connection request
23:47:14 Next step: Starting Phase 2
23:47:14 pfkey GETSPI sent: ESP/Tunnel 203.206.204.254-->192.168.0.121 (10.1.2.3/32192.168.1.0/24) (774)
23:47:14 get pfkey GETSPI message (196)
23:47:14 pfkey GETSPI succeeded: ESP/Tunnel 203.206.204.254-->192.168.0.121 (10.1.2.3/32192.168.1.0/24) spi=169194680(0xa15b4b8) (849)
23:47:14 === Phase 2 exchange / initiator / send 1 (151)
23:47:14 local ID: 10.1.2.3 (IPv4_address) (3947)
23:47:14 remote ID: 192.168.1.0 (IPv4_subnet) (4001)
23:47:14 add payload of len 88, next type: nonce (2340)
23:47:14 add payload of len 16, next type: ke (2340)
23:47:14 add payload of len 128, next type: id (2340)
23:47:14 add payload of len 8, next type: id (2340)
23:47:14 add payload of len 12, next type: none (2340)
23:47:14 phase 2, next type: hash (2261)
23:47:14 add payload of len 20, next type: sa (2340)
23:47:14 send phase2 packet to 203.206.204.254[4500] (0e01ec90643ac1ff:ea6e2721b571a611:000075b7) (1648)
23:47:14 notification message 18:INVALID-ID-INFORMATION, doi=1 proto_id=1 spi=(size=0). (1314)

23:47:14 Identifier Mismatch (Phase 2)

The VPN gateway notified VPN Tracker that the identifiers sent by VPN Tracker for Phase 2 do not match its own identifiers. Please do the following (or ask your administrator to do this):

•  Compare the local address or network configured in VPN Tracker to the VPN gateway's remote address (or network) setting
•  Compare the remote network(s) configured in VPN Tracker to the VPN gateway's local network(s)



Status: 0x90E05 (PHASE2_INVALID_ID_INFO)



Astaro's IPSec log shows:

2010:11:26-23:50:38 astaro1-1 pluto[2393]: | state hash entry 10
2010:11:26-23:50:38 astaro1-1 pluto[2393]: "S_VPN Tracker Test"[6] 114.76.16.97:4500: deleting connection "S_VPN Tracker Test" instance with peer 114.76.16.97 {isakmp=#0/ipsec=#0}
2010:11:26-23:50:38 astaro1-1 pluto[2393]: | next event EVENT_LOG_DAILY in 562 seconds
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | length: 24
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | ***parse ISAKMP Delete Payload:
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | next payload type: ISAKMP_NEXT_NONE
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | length: 28
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | DOI: ISAKMP_DOI_IPSEC
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | protocol ID: 1
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | SPI size: 16
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | number of SPIs: 1
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | removing 4 bytes of padding
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | ICOOKIE: f7 ec 2a fa 33 56 e8 2d
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | RCOOKIE: ed f6 d2 41 21 49 7f 2d
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | peer: 72 4c 10 61
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | state hash entry 10
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | state object #43 found, in STATE_MAIN_R3
2010:11:26-23:50:38 astaro1-2 pluto[18755]: "S_VPN Tracker Test"[6] 114.76.16.97:4500 #43: received Delete SA payload: deleting ISAKMP State #43
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | **emit ISAKMP Message:
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | initiator cookie:
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | f7 ec 2a fa 33 56 e8 2d
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | responder cookie:
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | ed f6 d2 41 21 49 7f 2d
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | next payload type: ISAKMP_NEXT_HASH
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | ISAKMP version: ISAKMP Version 1.0
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | exchange type: ISAKMP_XCHG_INFO
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | flags: ISAKMP_FLAG_ENCRYPTION
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | message ID: 32 87 53 6f
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | ***emit ISAKMP Hash Payload:
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | next payload type: ISAKMP_NEXT_D
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | emitting 20 zero bytes of HASH(1) into ISAKMP Hash Payload
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | emitting length of ISAKMP Hash Payload: 24
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | ***emit ISAKMP Delete Payload:
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | next payload type: ISAKMP_NEXT_NONE
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | DOI: ISAKMP_DOI_IPSEC
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | protocol ID: 1
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | SPI size: 16
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | number of SPIs: 1
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | emitting 16 raw bytes of delete payload into ISAKMP Delete Payload
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | delete payload f7 ec 2a fa 33 56 e8 2d ed f6 d2 41 21 49 7f 2d
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | emitting length of ISAKMP Delete Payload: 28
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | emitting 4 zero bytes of encryption padding into ISAKMP Message
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | emitting length of ISAKMP Message: 84
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | ICOOKIE: f7 ec 2a fa 33 56 e8 2d
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | RCOOKIE: ed f6 d2 41 21 49 7f 2d
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | peer: 72 4c 10 61
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | state hash entry 10
2010:11:26-23:50:38 astaro1-2 pluto[18755]: "S_VPN Tracker Test"[6] 114.76.16.97:4500: deleting connection "S_VPN Tracker Test" instance with peer 114.76.16.97 {isakmp=#0/ipsec=#0}
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | del: f7 ec 2a fa 33 56 e8 2d ed f6 d2 41 21 49 7f 2d
2010:11:26-23:50:38 astaro1-2 pluto[18755]: | next event EVENT_NAT_T_KEEPALIVE in 60 seconds
2010:11:26-23:51:38 astaro1-2 pluto[18755]: |


Has something changed with VPN (IPSec) with version 8?

Have I done something wrong, or is it a bug?

Thanks,

James.


This thread was automatically locked due to age.
  • 0
    I upgraded Astaro (software on own box) from 7.508 to 8.003. Everything worked as before except VPN.


    James, as far as I know in v8 there are some users that experienced issues with VPN IPSEC. I reported this problem to astaro guys, but I don't know if they solved.

    Please read this thread, there is the tranlsation of italian user experience:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/27732


    and please, inform us if you solved [;)]

    bye
    eclipse79
  • 0
    Thanks eclipse79.

    I was already using SHA1. Changed to MD5, but still got same error.

    Regards,

    James.
  • 0 in reply to jlbrown
    Astaro v8 uses Mode Config to automatically assign IP addresses to VPN clients. You can find an updated configuration guide for VPN Tracker here (PDF).

    The device profiles used in the new guide are part of VPN Tracker 6.2.3, which is a free update for VPN Tracker 6 users.
  • 0 in reply to vpntracker
    Astaro v8 uses Mode Config to automatically assign IP addresses to VPN clients. You can find an updated configuration guide for VPN Tracker here (PDF).

    The device profiles used in the new guide are part of VPN Tracker 6.2.3, which is a free update for VPN Tracker 6 users.


    Thanks vpntracker. What a fantastic configuration guide!

    Followed it (creating a new connection setting in VPN Tracker based on the new Astaro Security Gateway V8 profile was the key) and it now works.

    Thanks again,

    James.