Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 8018 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC site to site problem after update

hakab
Hi,
after upgrading from version 9.0.x to version 9.1.x my UTM 320,
the VPN (IPSEC) connection does not work.
In the end of the tunnel there si a Sonic Wall not managed.
the log errore now is:


13:07:22-15:25:20 grh-fw01-1 pluto[16595]: "S_Apn TIM" #32: ignoring Vendor ID payload [404bf439522ca3f6] 
2013:07:22-15:25:20 grh-fw01-1 pluto[16595]: "S_Apn TIM" #32: received Vendor ID payload [XAUTH] 
2013:07:22-15:25:20 grh-fw01-1 pluto[16595]: "S_Apn TIM" #32: ignoring Vendor ID payload [da8e937880010000] 
2013:07:22-15:25:20 grh-fw01-1 pluto[16595]: "S_Apn TIM" #32: received Vendor ID payload [Dead Peer Detection] 
2013:07:22-15:25:20 grh-fw01-1 pluto[16595]: "S_Apn TIM" #32: NAT-Traversal: Result using RFC 3947: no NAT detected 
2013:07:22-15:25:20 grh-fw01-1 pluto[16595]: "S_Apn TIM" #32: ignoring informational payload, type IPSEC_INITIAL_CONTACT 
2013:07:22-15:25:20 grh-fw01-1 pluto[16595]: "S_Apn TIM" #32: Peer ID is ID_USER_FQDN: 'vpntest@sophos.com' 
2013:07:22-15:25:20 grh-fw01-1 pluto[16595]: "S_Apn TIM" #32: sent MR3, ISAKMP SA established 
2013:07:22-15:25:20 grh-fw01-1 pluto[16595]: "S_Apn TIM" #32: ignoring informational payload, type INVALID_ID_INFORMATION 


before update the ID information was a empty field, now after update e after contact the sophos support we try with id vpntest@sophos.com on both firewalls. In the SonicWall field l'id is a field email e not FQDN/hostname.

If, leave the field blank the errore is:
The following error "ignoring informational payload, type INVALID_ID_INFORMATION
I'm confused [:S][:S][:S][:S]

Thanks


This thread was automatically locked due to age.
  • 0
    Try deleting the Remote Gateway and the IPsec Connection in the UTM and then re-creating them. Does that fix the problem?  Is either endpoint behind a NATting router?

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    YES out UTM is either behind a nating rule.
    NOW i change the ID information leave the field empty and not receive now the error on the INFOMRATION ID but tyoe no proposal chosen error.

    log:
    2013:07:25-09:39:12 grh-fw01-1 pluto[6366]: loading secrets from "/etc/ipsec.secrets"
    2013:07:25-09:39:12 grh-fw01-1 pluto[6366]: loaded PSK secret for 88.47.187.115 %any
    2013:07:25-09:39:12 grh-fw01-1 pluto[6366]: loaded private key from '88.47.187.115.pem'
    2013:07:25-09:39:12 grh-fw01-1 pluto[6366]: loaded PSK secret for 85.38.50.163 77.238.20.103
    2013:07:25-09:39:12 grh-fw01-1 pluto[6366]: loading ca certificates from '/etc/ipsec.d/cacerts'
    2013:07:25-09:39:12 grh-fw01-1 pluto[6366]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
    2013:07:25-09:39:12 grh-fw01-1 pluto[6366]: loading aa certificates from '/etc/ipsec.d/aacerts'
    2013:07:25-09:39:12 grh-fw01-1 pluto[6366]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
    2013:07:25-09:39:12 grh-fw01-1 pluto[6366]: loading attribute certificates from '/etc/ipsec.d/acerts'
    2013:07:25-09:39:12 grh-fw01-1 pluto[6366]: Changing to directory '/etc/ipsec.d/crls'
    2013:07:25-09:39:12 grh-fw01-1 pluto[6366]: added connection description "S_APN TIM"
    2013:07:25-09:39:12 grh-fw01-1 pluto[6366]: "S_APN TIM" #22: initiating Main Mode
    2013:07:25-09:39:12 grh-fw01-1 pluto[6366]: added connection description "X_APN TIM"
    2013:07:25-09:39:12 grh-fw01-1 pluto[6366]: "S_APN TIM" #22: ignoring Vendor ID payload [5b362bc820f60007]
    2013:07:25-09:39:12 grh-fw01-1 pluto[6366]: "S_APN TIM" #22: ignoring Vendor ID payload [404bf439522ca3f6]
    2013:07:25-09:39:12 grh-fw01-1 pluto[6366]: "S_APN TIM" #22: received Vendor ID payload [XAUTH]
    2013:07:25-09:39:12 grh-fw01-1 pluto[6366]: "S_APN TIM" #22: received Vendor ID payload [Dead Peer Detection]
    2013:07:25-09:39:12 grh-fw01-1 pluto[6366]: "S_APN TIM" #22: Peer ID is ID_IPV4_ADDR: '77.238.20.103'
    2013:07:25-09:39:12 grh-fw01-1 pluto[6366]: "S_APN TIM" #22: ISAKMP SA established
    2013:07:25-09:39:12 grh-fw01-1 pluto[6366]: "S_APN TIM" #23: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP {using isakmp#22}
    2013:07:25-09:39:12 grh-fw01-1 pluto[6366]: "S_APN TIM" #22: ignoring informational payload, type NO_PROPOSAL_CHOSEN
    2013:07:25-09:39:21 grh-fw01-1 pluto[6366]: packet from 77.238.20.103:500: Main Mode message is part of an unknown exchange
    2013:07:25-09:39:22 grh-fw01-1 pluto[6366]: "S_APN TIM" #22: ignoring informational payload, type NO_PROPOSAL_CHOSEN
    2013:07:25-09:39:42 grh-fw01-1 pluto[6366]: "S_APN TIM" #22: ignoring informational payload, type NO_PROPOSAL_CHOSEN
    2013:07:25-09:40:22 grh-fw01-1 pluto[6366]: "S_APN TIM" #23: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
    2013:07:25-09:40:22 grh-fw01-1 pluto[6366]: "S_APN TIM" #23: starting keying attempt 2 of an unlimited number
    2013:07:25-09:40:22 grh-fw01-1 pluto[6366]: "S_APN TIM" #24: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP to replace #23 {using isakmp#22}
    2013:07:25-09:40:22 grh-fw01-1 pluto[6366]: "S_APN TIM" #22: ignoring informational payload, type NO_PROPOSAL_CHOSEN
    2013:07:25-09:40:52 grh-fw01-1 pluto[6366]: "S_APN TIM" #22: ignoring informational payload, type NO_PROPOSAL_CHOSEN
    2013:07:25-09:41:32 grh-fw01-1 pluto[6366]: "S_APN TIM" #24: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
    2013:07:25-09:41:32 grh-fw01-1 pluto[6366]: "S_APN TIM" #24: starting keying attempt 3 of an unlimited number
    2013:07:25-09:41:32 grh-fw01-1 pluto[6366]: "S_APN TIM" #25: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP to replace #24 {using isakmp#22}
    2013:07:25-09:41:32 grh-fw01-1 pluto[6366]: "S_APN TIM" #22: ignoring informational payload, type NO_PROPOSAL_CHOSEN
    2013:07:25-09:41:42 grh-fw01-1 pluto[6366]: "S_APN TIM" #22: ignoring informational payload, type NO_PROPOSAL_CHOSEN
    2013:07:25-09:42:02 grh-fw01-1 pluto[6366]: "S_APN TIM" #22: ignoring informational payload, type NO_PROPOSAL_CHOSEN
    2013:07:25-09:42:42 grh-fw01-1 pluto[6366]: "S_APN TIM" #25: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
    2013:07:25-09:42:42 grh-fw01-1 pluto[6366]: "S_APN TIM" #25: starting keying attempt 4 of an unlimited number
    2013:07:25-09:42:42 grh-fw01-1 pluto[6366]: "S_APN TIM" #26: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP to replace #25 {using isakmp#22}
    2013:07:25-09:42:42 grh-fw01-1 pluto[6366]: "S_APN TIM" #22: ignoring informational payload, type NO_PROPOSAL_CHOSEN
    2013:07:25-09:43:12 grh-fw01-1 pluto[6366]: "S_APN TIM" #22: ignoring informational payload, type NO_PROPOSAL_CHOSEN 

    I try to switch IPSEC connection to another 320 UTM (there was salve in HA) and with the same configuration the ipsec is ON....

    thanks
  • 0
    By the way, welcome to the User BB!

    It's strange that all it took to fix the problem was a failover to the Slave.  It makes me wonder if Node 1 has a bad WAN port or bad switch between it and your ISP.  If the problem occurs again when you fail back to Node 1, you should get Sophos Support involved.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML