Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 6706 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Shrew Soft IPSec VPN Client with Astaro V8.102

plc101man
The Shrew VPN client sort of connects to my Astaro firewall at home in an Astaro IPSEC Roadwarrior configuration, but I'm still unable to ping or browse the remote network.

I used the configuration mentioned in this post for the Shrew Soft client.

https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/53198

This is what I'm getting in the IPSec log of my firewall at home:

2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: received Vendor ID payload [XAUTH]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: ignoring Vendor ID payload [16f6ca16e4a4066d83821a0f0aeaa862]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: received Vendor ID payload [RFC 3947]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: ignoring Vendor ID payload [FRAGMENTATION 80000000]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: received Vendor ID payload [Dead Peer Detection]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: ignoring Vendor ID payload [f14b94b7bff1fef02773b8c49feded26]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: ignoring Vendor ID payload [166f932d55eb64d8e4df4fd37e2313f0d0fd8451]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: ignoring Vendor ID payload [8404adf9cda05760b2ca292e4bff537b]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: ignoring Vendor ID payload [Cisco-Unity]
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[7] 173.221.113.250 #9: responding to Main Mode from unknown peer 173.221.113.250
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[7] 173.221.113.250 #9: NAT-Traversal: Result using RFC 3947: peer is NATed
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[7] 173.221.113.250 #9: Peer ID is ID_IPV4_ADDR: '192.168.0.112'
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250 #9: deleting connection "D_IPSec VPN" instance with peer 173.221.113.250 {isakmp=#0/ipsec=#0}
2011:05:05-10:07:54 as-01 pluto[18117]: | NAT-T: new mapping 173.221.113.250:500/59393)
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sent MR3, ISAKMP SA established
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending XAUTH request
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:59393: Informational Exchange is for an unknown (expired?) SA
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: parsing XAUTH reply
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: extended authentication was successful
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending XAUTH status
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: parsing XAUTH ack
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: received XAUTH ack, established
2011:05:05-10:08:02 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: cannot respond to IPsec SA request because no connection is known for 0.0.0.0/0===174.48.3.61:4500[174.48.3.61]...173.221.113.250:59393[192.168.0.112]===10.33.33.100/32
2011:05:05-10:08:02 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending encrypted notification INVALID_ID_INFORMATION to 173.221.113.250:59393
2011:05:05-10:08:02 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: cannot respond to IPsec SA request because no connection is known for 0.0.0.0/0===174.48.3.61:4500[174.48.3.61]...173.221.113.250:59393[192.168.0.112]===10.33.33.100/32
2011:05:05-10:08:02 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending encrypted notification INVALID_ID_INFORMATION to 173.221.113.250:59393
2011:05:05-10:08:07 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x657e098a (perhaps this is a duplicated packet)
2011:05:05-10:08:07 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending encrypted notification INVALID_MESSAGE_ID to 173.221.113.250:59393
2011:05:05-10:08:07 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x84a1f7a1 (perhaps this is a duplicated packet)
2011:05:05-10:08:07 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending encrypted notification INVALID_MESSAGE_ID to 173.221.113.250:59393
2011:05:05-10:08:12 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x657e098a (perhaps this is a duplicated packet)
2011:05:05-10:08:12 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending encrypted notification INVALID_MESSAGE_ID to 173.221.113.250:59393
2011:05:05-10:08:12 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x84a1f7a1 (perhaps this is a duplicated packet)
2011:05:05-10:08:12 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending encrypted notification INVALID_MESSAGE_ID to 173.221.113.250:59393
2011:05:05-10:08:17 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x657e098a (perhaps this is a duplicated packet)
2011:05:05-10:08:17 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending encrypted notification INVALID_MESSAGE_ID to 173.221.113.250:59393
2011:05:05-10:08:17 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x84a1f7a1 (perhaps this is a duplicated packet)
2011:05:05-10:08:17 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending encrypted notification INVALID_MESSAGE_ID to 173.221.113.250:59393
2011:05:05-10:08:19 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: cannot respond to IPsec SA request because no connection is known for 0.0.0.0/0===174.48.3.61:4500[174.48.3.61]...173.221.113.250:59393[192.168.0.112]===10.33.33.100/32
2011:05:05-10:08:19 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending encrypted notification INVALID_ID_INFORMATION to 173.221.113.250:59393

[:S] [:S] [:S] [:S]

Any help will be greatly appreciated,

Thanks.


This thread was automatically locked due to age.
  • 0
    I have the exact same problem. I have been fighting with it for days now and I pretty much have the same logs as you. 

    Shrew is a really good client that is able to connect to many commercial and opensource gateways. They have howtos for a bunch but nothing for astaro. 
    Im not going to buy a VPN client when a good one exists for free. 

    Shrew works great with pfsense. If no one wants to help find the issue between
    Shrew and astaro, I guess Ill be puting pfsense back on my router.
  • 0
    Hey, guys, and welcome to the User BB!

    Shrewsoft worked for me when I tried it, so I imagine you have configuration issues.  IPsec is more a set of standards than a complete agreement on how every connection should be set up.

    2011:05:05-10:08:19 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: cannot respond to IPsec SA request because no connection is known for 0.0.0.0/0===174.48.3.61:4500[174.48.3.61]...173.221.113.250:59393[192.168.0.112]===10.33.33.100/32

    Plc101man, that looks pretty unusual to me - are you double-NATting on the Astaro end?

    Cheers - Bob
  • 0 in reply to BAlfson
    Nope. I'm not.
    The Astaro firewall is connected directly to my comcast modem.
  • 0
    Ive gone through both of these links before and the first one does not work. The tunnel gets set up fine but anything more than that fails and you get what plc101man posted here at the top. The funny thing about the second (in German)link is that at the end of configuration screen shots, the last pic shows that his configuration failed, so it seems he is asking how to get it working, not stating that he figured it out?
  • 0
    The link in German is a tutorial, and it's showing how to learn to configure IPsec.  I believe that he purposely chose the wrong algortihm (3DES instead of AES256 and AES128) as a lead-in to the section on troubleshooting.

    I don't have Shrew on this laptop, so I can't test the first link.

    Is the hostname of the Astaro an FQDN that resolves to an IP on the External interface?  You say that your Astaro is connected directly to your modem - what IP is the "External (Address)" of the Astaro?

    Cheers - Bob
  • 0
    BAlfson:

    You are correct. After changing the algorithms to AES256 and AES128 is working like a champ !!!

    See attached screen-shots.

    Thanks !!!
  • 0 in reply to BAlfson
    Did anyone get Shrew Soft's VPN to connect and work with ASG v8.201? I'm trying on an XP box and I can get it to connect, but can't pass any traffic. From looking at the logs it appears to be a routing problem:

    9:15-05:29:26 dikobraz pluto[30443]: "D_Grisha IPSec"[6] 10.8.26.243:4500 #5: cannot respond to IPsec SA request because no connection is known for 0.0.0.0/0===108.83.100.13:4500[108.83.100.13]...10.8.26.243:4500[10.6.19.81]===10.6.6.6/32

    10.8.26.243 is the AP the client is coming from/attached to.
    10.6.6.6 is the IP I assigned manually as the local host in the Shrew client.
    108.83.100.13 is the ASG box I'm trying to get through.

    My Shrew client is configured per:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/53198

    If someone got it to work, what magic incantation did they use?
  • 0
    What is the scope of the VPN Pool on the ASG side?
  • 0
    I've not used it with 8.201, but it works fine with 7.511.  I bet Scott's analysis is correct, and that 10.6.6.6 is in a subnet on your Astaro.  However, if you're double-NATting the client (why else would you have a 10.8 address?), then all bets are  off with IPsec.

    Cheers - Bob