Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 6709 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Shrew Soft IPSec VPN Client with Astaro V8.102

plc101man
The Shrew VPN client sort of connects to my Astaro firewall at home in an Astaro IPSEC Roadwarrior configuration, but I'm still unable to ping or browse the remote network.

I used the configuration mentioned in this post for the Shrew Soft client.

https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/53198

This is what I'm getting in the IPSec log of my firewall at home:

2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: received Vendor ID payload [XAUTH]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: ignoring Vendor ID payload [16f6ca16e4a4066d83821a0f0aeaa862]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: received Vendor ID payload [RFC 3947]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: ignoring Vendor ID payload [FRAGMENTATION 80000000]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: received Vendor ID payload [Dead Peer Detection]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: ignoring Vendor ID payload [f14b94b7bff1fef02773b8c49feded26]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: ignoring Vendor ID payload [166f932d55eb64d8e4df4fd37e2313f0d0fd8451]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: ignoring Vendor ID payload [8404adf9cda05760b2ca292e4bff537b]
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:500: ignoring Vendor ID payload [Cisco-Unity]
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[7] 173.221.113.250 #9: responding to Main Mode from unknown peer 173.221.113.250
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[7] 173.221.113.250 #9: NAT-Traversal: Result using RFC 3947: peer is NATed
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[7] 173.221.113.250 #9: Peer ID is ID_IPV4_ADDR: '192.168.0.112'
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250 #9: deleting connection "D_IPSec VPN" instance with peer 173.221.113.250 {isakmp=#0/ipsec=#0}
2011:05:05-10:07:54 as-01 pluto[18117]: | NAT-T: new mapping 173.221.113.250:500/59393)
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sent MR3, ISAKMP SA established
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending XAUTH request
2011:05:05-10:07:54 as-01 pluto[18117]: packet from 173.221.113.250:59393: Informational Exchange is for an unknown (expired?) SA
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: parsing XAUTH reply
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: extended authentication was successful
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending XAUTH status
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: parsing XAUTH ack
2011:05:05-10:07:54 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: received XAUTH ack, established
2011:05:05-10:08:02 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: cannot respond to IPsec SA request because no connection is known for 0.0.0.0/0===174.48.3.61:4500[174.48.3.61]...173.221.113.250:59393[192.168.0.112]===10.33.33.100/32
2011:05:05-10:08:02 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending encrypted notification INVALID_ID_INFORMATION to 173.221.113.250:59393
2011:05:05-10:08:02 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: cannot respond to IPsec SA request because no connection is known for 0.0.0.0/0===174.48.3.61:4500[174.48.3.61]...173.221.113.250:59393[192.168.0.112]===10.33.33.100/32
2011:05:05-10:08:02 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending encrypted notification INVALID_ID_INFORMATION to 173.221.113.250:59393
2011:05:05-10:08:07 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x657e098a (perhaps this is a duplicated packet)
2011:05:05-10:08:07 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending encrypted notification INVALID_MESSAGE_ID to 173.221.113.250:59393
2011:05:05-10:08:07 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x84a1f7a1 (perhaps this is a duplicated packet)
2011:05:05-10:08:07 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending encrypted notification INVALID_MESSAGE_ID to 173.221.113.250:59393
2011:05:05-10:08:12 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x657e098a (perhaps this is a duplicated packet)
2011:05:05-10:08:12 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending encrypted notification INVALID_MESSAGE_ID to 173.221.113.250:59393
2011:05:05-10:08:12 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x84a1f7a1 (perhaps this is a duplicated packet)
2011:05:05-10:08:12 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending encrypted notification INVALID_MESSAGE_ID to 173.221.113.250:59393
2011:05:05-10:08:17 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x657e098a (perhaps this is a duplicated packet)
2011:05:05-10:08:17 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending encrypted notification INVALID_MESSAGE_ID to 173.221.113.250:59393
2011:05:05-10:08:17 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x84a1f7a1 (perhaps this is a duplicated packet)
2011:05:05-10:08:17 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending encrypted notification INVALID_MESSAGE_ID to 173.221.113.250:59393
2011:05:05-10:08:19 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: cannot respond to IPsec SA request because no connection is known for 0.0.0.0/0===174.48.3.61:4500[174.48.3.61]...173.221.113.250:59393[192.168.0.112]===10.33.33.100/32
2011:05:05-10:08:19 as-01 pluto[18117]: "D_IPSec VPN"[8] 173.221.113.250:59393 #9: sending encrypted notification INVALID_ID_INFORMATION to 173.221.113.250:59393

[:S] [:S] [:S] [:S]

Any help will be greatly appreciated,

Thanks.


This thread was automatically locked due to age.
Parents
  • 0
    The link in German is a tutorial, and it's showing how to learn to configure IPsec.  I believe that he purposely chose the wrong algortihm (3DES instead of AES256 and AES128) as a lead-in to the section on troubleshooting.

    I don't have Shrew on this laptop, so I can't test the first link.

    Is the hostname of the Astaro an FQDN that resolves to an IP on the External interface?  You say that your Astaro is connected directly to your modem - what IP is the "External (Address)" of the Astaro?

    Cheers - Bob
Reply
  • 0
    The link in German is a tutorial, and it's showing how to learn to configure IPsec.  I believe that he purposely chose the wrong algortihm (3DES instead of AES256 and AES128) as a lead-in to the section on troubleshooting.

    I don't have Shrew on this laptop, so I can't test the first link.

    Is the hostname of the Astaro an FQDN that resolves to an IP on the External interface?  You say that your Astaro is connected directly to your modem - what IP is the "External (Address)" of the Astaro?

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Did anyone get Shrew Soft's VPN to connect and work with ASG v8.201? I'm trying on an XP box and I can get it to connect, but can't pass any traffic. From looking at the logs it appears to be a routing problem:

    9:15-05:29:26 dikobraz pluto[30443]: "D_Grisha IPSec"[6] 10.8.26.243:4500 #5: cannot respond to IPsec SA request because no connection is known for 0.0.0.0/0===108.83.100.13:4500[108.83.100.13]...10.8.26.243:4500[10.6.19.81]===10.6.6.6/32

    10.8.26.243 is the AP the client is coming from/attached to.
    10.6.6.6 is the IP I assigned manually as the local host in the Shrew client.
    108.83.100.13 is the ASG box I'm trying to get through.

    My Shrew client is configured per:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/53198

    If someone got it to work, what magic incantation did they use?