Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 3899 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Trying to setup a Site2Site tunnel to a Cisco Device

rvaneynd
We are trying to establish a Site 2 Site tunnel with a Cisco device.

We do not have control over the Cisco device and have been given instructions on how to set the policies on our end.

At the moment I see this in the IPSec.log

*received 96 bytes from aaa.bbb.ccc.ddd:500 on ppp0
ICOOKIE: 69 7e d5 7d d4 80 d4 b2 
RCOOKIE: b5 df 59 72 3b c7 92 e7 
peer: c2 3e e8 75 
state hash entry 8 
state object not found 
packet from aaa.bbb.ccc.ddd:500: ignoring informational payload, type NO_PROPOSAL_CHOSEN 

Can somebody tell me what "State Object Not Found" means?


This thread was automatically locked due to age.
  • 0
    Please share the information about the Cisco policy and show a picture of the one you're using.  Is the Cisco behind a NATting router?  Is your Astaro?  What version of Astaro/Sophos?

    Cheers - Bob
  • 0
    The Cisco is an ASR 1002-F

    Both Astaro and Cisco do not sit behind NAT.
    Astaro version ASG110 version 8.304

    Created a Custom Policy on the Astaro:

    IKE Encrypt Algo: 3DES
    IKE authent algo: MD5
    IKA SA Lifetime: 86400
    IKE DH Group: Group 2: MODP 1024

    IPSec Ecnrypt Algo: 3DES
    IPSec Authen Algo: MD5
    IPSec SA Lifetime: 3600
    IPSec PFS Grp: None

    Strict Policy: No
    Compression: No

    Cisco Policy Info Given to us:

    Phase 1:
    Encrypt Algo: 3DES
    Hash Algo: MD5
    Diffie Hellman Group: 2
    ISAKMP SA Lifetime: 86400
    Agressive Mode: No

    Phase 2:
    Encrypt Algo: ESP-3DES
    Hash Algo: esp-md5-hmac
    IPSEC SA Lifetime: 3600
    PFS: No
  • 0
    That all seems right, doesn't it?!

    Before digging into the logfile, please show a picture of the 'Edit Remote Gateway'.

    Cheers - Bob
  • 0 in reply to BAlfson
    I had to edit it to remove all the sensitive info.

    Name: 
    Gateway: IP Address (aaa.bbb.ccc.ddd) as per log.

    VPN ID: aaa.bbb.ccc.ddd

    Remote Networks: Local LAN at Customer.
  • 0
    Everything looks right.  Is 'Support Path MTU discovery' checked in the 'Advanced' section?

    I don't think this is the same issue that we worked on here earlier this month, but you might ask the Cisco folks if they're at least on Version 7.0.8.12 – 02/25/2011.

    If the Intrusion Prevention log doesn't show that 'UDP Flood Protection' is causing problems, then it's time to look at the IPsec logs.  Disable the IPsec Connection, open the Live Log, wait a few seconds for it to initialize, enable and show us one connection attempt.  When obfuscating names and IPs, be sure to leave enough detail so we can see what's where. [;)]

    Cheers - Bob