Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 7180 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec S2S VPN Fails Astaro<->Lancom

bken
Hello All, 
I'm unable to get IPsec site to site VPN to come up between my Virtual Astaro Security Gateway( v8.301) and a Lancom 1718a  DSL router. I have double checked settings on both ends and they match as they should. In the logs on the Astaro, I get the messages below. Can anyone tell me what they may point to or which device is likely the culprit? To me, it looks like Phase 1 completes but Phase 2 does not
On the Astaro device, the only firewall rules I have set up are a SNAT and DNAT to an individual server and then a rule allowing remote desktop through. Not sure if this could be due to missing rules? Any help is appreciated. Thx

2012:04:05-21:57:25 asg pluto[19957]: "S_ESM_VPN" #25: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP to replace #24 {using isakmp#8}
 
2012:04:05-21:57:25 asg pluto[19957]: "S_ESM_VPN" #8: ignoring informational payload, type NO_PROPOSAL_CHOSEN
 
2012:04:05-21:57:36 asg pluto[19957]: "S_ESM_VPN" #8: ignoring informational payload, type NO_PROPOSAL_CHOSEN
 
2012:04:05-21:57:55 asg pluto[19957]: "S_ESM_VPN" #8: ignoring informational payload, type NO_PROPOSAL_CHOSEN
 
2012:04:05-21:58:35 asg pluto[19957]: "S_ESM_VPN" #25: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
 
2012:04:05-21:58:35 asg pluto[19957]: "S_ESM_VPN" #25: starting keying attempt 18 of an unlimited number
 
2012:04:05-21:58:35 asg pluto[19957]: "S_ESM_VPN" #26: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP to replace #25 {using isakmp#8}
 
2012:04:05-21:58:35 asg pluto[19957]: "S_ESM_VPN" #8: ignoring informational payload, type NO_PROPOSAL_CHOSEN
 
2012:04:05-21:58:45 asg pluto[19957]: "S_ESM_VPN" #8: ignoring informational payload, type NO_PROPOSAL_CHOSEN
 
2012:04:05-21:59:05 asg pluto[19957]: "S_ESM_VPN" #8: ignoring informational payload, type NO_PROPOSAL_CHOSEN
 
2012:04:05-21:59:45 asg pluto[19957]: "S_ESM_VPN" #26: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable


This thread was automatically locked due to age.
  • 0
    Actually the Lancom Router model is a 1781a 3G as opposed to 1718... mentioned in my first post. 

    Also confirmed, Phase1 is setting up, Phase two failing. I can't see any differences in my configs on either end. 

    Anyone else have experience successfully setting up IPSec VPN with a Lancom device?
  • 0
    Hi, bken, and welcome to the User BB!

    No acceptable response to our first Quick Mode message: perhaps peer likes no proposal

    That's not really enough lines, but that makes me think there isn't agreement on the PSK and/or the Policy.  You might try a simple PSK and disabling 'Strict Policy' if you have that ticked.

    Cheers - Bob
  • 0
    Hi Bob, Thanks for the reply! I tried simplifying the PSK and I have Strict Policy unchecked but I still get the same result. Am I correct in assuming that, if Phase 1 sets up ok, the firewall rules are correct and will also allow Phase2? 
    I have included some additional logging information as well. Your help is much appreciated.
  • 0
    if Phase 1 sets up ok, the firewall rules are correct and will also allow Phase2? 

    That' a good question - I hope someone explains why not.  You need to be sure your firewall allows IP Protocol IDs 50 & 51 and UDP Ports 500 and 4500; Astaro takes care of this if it's the firewall configured for VPN.

    Well, that's more lines, but less of the conversation. [;)]

    Please try without debugging enabled.  Disable the IPsec Connection, Start the Live Log, Hit F5 to clear it after the first 10 lines come up, enable the IPsec Connection and show all the lines up through the first one with "No acceptable response to our first Quick Mode message: perhaps peer likes no proposal."

    Cheers - Bob
  • 0
    Hi Bob,

    Please find the requested log file attached. I can't help but think I'm overlooking something obvious. Just curious, have you ever worked with Lancom brand devices previously? I'm wondering if they have an issue with interpreting IPSec standard...  Thx again for your help.
  • 0
    You're welcome.  I like thorny problems like this as I always learn something. [:)]

    Your initial comment is right, the ISAKMP SA gets established normally, and there's a conflict in the Policy related to Phase 2.

    No, I've never touched a Lancom, and there's not much here about them.  The Astaro stuff can hook up with just about every thing though, so I bet it's a small conflict in the settings.

    Which Astaro IPsec Policy are you using? -unchanged?  How about pictures of the Lancom IPsec settings?

    Cheers - Bob
  • 0
    Bob,

    In the attached doc are screenshots of the Astaro Policy setup and the Lancom for you to peruse. It seems there are more options in the IPsec section on the Lancom but those things aren't required to my understanding.
  • 0
    Bob,

    I was playing around with the cfg. wizard on the Lancom and was able to successfully create a new IPSec VPN Tunnel. I'm looking through the settings now to see what is different and will post the results. Thanks so much for your time but it looks like the prob was on the Lancom end (of course it was!) .
  • 0
    As close as I can tell, the main differences between my configuration (in the Lancom device) that failed and the config that worked is that, in the working config, I made the 'connection name' and 'connection parameter' ID name the IP address of the Astaro device. In the previous lancom config, these names were not IP addresses. I'm still not sure why it made a difference. 
    Thx again.
  • 0
    Ahhh! - I knew I'd learn something important here.  The VPN ID is checked right at the beginning of the IPsec phase, right after the IKE SA has been established.  I bet it's the content of the first message.  That makes sense, but I hadn't internalized it.

    But, you didn't have INVALID_ID_INFORMATION, so I tend to think the issue was that each side was looking for a different type of ID from the other.

    FWIW, I learned to do PSK-type connections using 'VPN ID type: IP Address' - that works, so I haven't tried it with the other types.  I just looked for and found a post by d12fk (Astaro VPN Guy) that makes me think that you have to use "IP Address" type for PSK.

    I see you've removed the files, I'd like to look at them again, if you don't mind.  You can email them to me at my username here @ the domain in my signature.

    Cheers - Bob