Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 7179 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec S2S VPN Fails Astaro<->Lancom

bken
Hello All, 
I'm unable to get IPsec site to site VPN to come up between my Virtual Astaro Security Gateway( v8.301) and a Lancom 1718a  DSL router. I have double checked settings on both ends and they match as they should. In the logs on the Astaro, I get the messages below. Can anyone tell me what they may point to or which device is likely the culprit? To me, it looks like Phase 1 completes but Phase 2 does not
On the Astaro device, the only firewall rules I have set up are a SNAT and DNAT to an individual server and then a rule allowing remote desktop through. Not sure if this could be due to missing rules? Any help is appreciated. Thx

2012:04:05-21:57:25 asg pluto[19957]: "S_ESM_VPN" #25: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP to replace #24 {using isakmp#8}
 
2012:04:05-21:57:25 asg pluto[19957]: "S_ESM_VPN" #8: ignoring informational payload, type NO_PROPOSAL_CHOSEN
 
2012:04:05-21:57:36 asg pluto[19957]: "S_ESM_VPN" #8: ignoring informational payload, type NO_PROPOSAL_CHOSEN
 
2012:04:05-21:57:55 asg pluto[19957]: "S_ESM_VPN" #8: ignoring informational payload, type NO_PROPOSAL_CHOSEN
 
2012:04:05-21:58:35 asg pluto[19957]: "S_ESM_VPN" #25: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
 
2012:04:05-21:58:35 asg pluto[19957]: "S_ESM_VPN" #25: starting keying attempt 18 of an unlimited number
 
2012:04:05-21:58:35 asg pluto[19957]: "S_ESM_VPN" #26: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP to replace #25 {using isakmp#8}
 
2012:04:05-21:58:35 asg pluto[19957]: "S_ESM_VPN" #8: ignoring informational payload, type NO_PROPOSAL_CHOSEN
 
2012:04:05-21:58:45 asg pluto[19957]: "S_ESM_VPN" #8: ignoring informational payload, type NO_PROPOSAL_CHOSEN
 
2012:04:05-21:59:05 asg pluto[19957]: "S_ESM_VPN" #8: ignoring informational payload, type NO_PROPOSAL_CHOSEN
 
2012:04:05-21:59:45 asg pluto[19957]: "S_ESM_VPN" #26: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable


This thread was automatically locked due to age.
Parents
  • 0
    Ahhh! - I knew I'd learn something important here.  The VPN ID is checked right at the beginning of the IPsec phase, right after the IKE SA has been established.  I bet it's the content of the first message.  That makes sense, but I hadn't internalized it.

    But, you didn't have INVALID_ID_INFORMATION, so I tend to think the issue was that each side was looking for a different type of ID from the other.

    FWIW, I learned to do PSK-type connections using 'VPN ID type: IP Address' - that works, so I haven't tried it with the other types.  I just looked for and found a post by d12fk (Astaro VPN Guy) that makes me think that you have to use "IP Address" type for PSK.

    I see you've removed the files, I'd like to look at them again, if you don't mind.  You can email them to me at my username here @ the domain in my signature.

    Cheers - Bob
Reply
  • 0
    Ahhh! - I knew I'd learn something important here.  The VPN ID is checked right at the beginning of the IPsec phase, right after the IKE SA has been established.  I bet it's the content of the first message.  That makes sense, but I hadn't internalized it.

    But, you didn't have INVALID_ID_INFORMATION, so I tend to think the issue was that each side was looking for a different type of ID from the other.

    FWIW, I learned to do PSK-type connections using 'VPN ID type: IP Address' - that works, so I haven't tried it with the other types.  I just looked for and found a post by d12fk (Astaro VPN Guy) that makes me think that you have to use "IP Address" type for PSK.

    I see you've removed the files, I'd like to look at them again, if you don't mind.  You can email them to me at my username here @ the domain in my signature.

    Cheers - Bob
Children
No Data