Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Shrew and IPSec on Astaro UTM9

Hi there,

i have the following problem. I established a connection through the shrew Softwareclient to the astaro and the IP-Sec log tells me the following:

2012:09:25-17:10:26 rfw1-1 pluto[13125]: "S_Shrew"[22] 109.84.0.72:41838 #14: cannot respond to IPsec SA request because no connection is known for 0.0.0.0/0===80.134.168.31:4500[80.134.168.31]...109.84.0.72:41838[172.20.10.2]===10.242.4.1/32
2012:09:25-17:10:26 rfw1-1 pluto[13125]: "S_Pohl Shrew"[22] 109.84.0.72:41838 #14: sending encrypted notification INVALID_ID_INFORMATION to 109.84.0.72:41838 

Can anyone tell me what went wrong?

Thanks in advance

Lars


This thread was automatically locked due to age.
  • Hi Lars,

    You might try without using XAUTH.  Also, does the X509 certificate used on the 'Advanced' tab of IPsec have VPNId = to the hostname of your UTM, and is that hostname an FQDN that resolves to the public IP of your UTM?

    Cheers - Bob
  • Hi Bob,

    thank you very much for your reply.
    All the settings you described were set and everything is okay.

    The IP-Sec Client from the Astaro works absolutely fine and connects without
    Errors!

    Even the Cisco VPN Settings for our iOS Devices work fine.
    By the way, are there any problems with iOS 6 and Cisco VPN?

    Any other suggestions for the shrew Software?

    thanks in advance

    lars
  • it looks like a NAt-T problem: 109.84.0.72:41838[172.20.10.2]
  • Okay, but what can i do against it [:)]
    Thanks in advance
  • Hi,
    i have more detailed information of the error now:


    2012:09:26-10:46:02 rfw1-1 pluto[29496]: | removing 8 bytes of padding
    2012:09:26-10:46:02 rfw1-1 pluto[29496]: | peer client is 109.85.162.195
    2012:09:26-10:46:02 rfw1-1 pluto[29496]: | peer client protocol/port is 0/0
    2012:09:26-10:46:02 rfw1-1 pluto[29496]: | our client is subnet 0.0.0.0/0
    2012:09:26-10:46:02 rfw1-1 pluto[29496]: | our client protocol/port is 0/0
    2012:09:26-10:46:02 rfw1-1 pluto[29496]: "D_Test"[2] 109.85.162.195 #4: cannot respond to IPsec SA request because no connection is known for 0.0.0.0/0===80.134.174.47[80.134.174.47]...109.85.162.195[109.85.162.195]
    2012:09:26-10:46:02 rfw1-1 pluto[29496]: "D_Test"[2] 109.85.162.195 #4: sending encrypted notification INVALID_ID_INFORMATION to 109.85.162.195:500
    2012:09:26-10:46:07 rfw1-1 pluto[29496]: | 
  • ..and more information [:)]

    In the IP-Sec Configuration (IPSec Remotepolicy) of the astaro:

    when the local networks in the configuration of the user is set to "any" instead of "internal network", i can establish the connection and everything works fine!

    when the local networks in the configuration of the user is set to "internal network" and not to "any" THE ERROR FROM MY THE LAST POST OCCURE!!

    i don`t understand the problem, because with the ASTARO IP-SEC Client (Certificate) everything works fine!

    Thanks in advance
  • Here's a section from the Shrew Soft manual that seems to be what you need:
    IPsec Policy Configuration
    The Obtain Topology Automatically or Tunnel All options modifies the way security policies are configured for the connection. When disabled, Manual configuration must be performed. When enabled, Automatic configuration is performed.

    Automatic Configuration
    When a remote gateway is configured to support the Configuration Exchange, it provides a list of networks that are accessible via VPN Client Gateway. This network topology information, along with the client address are used to describe the security policies for this site configuration. When Automatic Policy Configuration is enabled but the remote Gateway does not supply topology information, the VPN Client will install a default policy that tunnels all traffic to the Gateway. The default value for this setting is Enabled.

    Manual Configuration
    The Network Topology List can be manually defined if the VPN Gateway does not provide a list automatically for the client. You can Add, Modify or Delete Network Topology List entries by using the buttons shown at the bottom of the Policy Configuration dialog. These buttons will be grayed out if the Automatic Policy Configuration option is Enabled.


    Cheers - Bob
  • Hey Bob,

    thank you very much!

    Cheers
    Lars