Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1825 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

L2TP not working anymore

lferrara
Hi All, 

L2TP stopped working after a while. No changed has been made to UTM, apart updates. UTM has only network protection, SSL and PPTP are working without any problem.

L2TP, instead, is not working at all. I enabled debug on L2TP:


2013:10:09-19:06:39 2 pluto[19529]: "L_for admin"[42] 93.63.221.196:64916 #25: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)
2013:10:09-19:06:39 2 pluto[19529]: "L_for admin"[42] 93.63.221.196:64916 #25: sending encrypted notification INVALID_MESSAGE_ID to 93.63.221.196:64916
2013:10:09-19:06:39 2 pluto[19529]: | **emit ISAKMP Message:
2013:10:09-19:06:39 2 pluto[19529]: | initiator cookie:
2013:10:09-19:06:39 2 pluto[19529]: | 5a e6 6e ae c7 a0 e8 2a
2013:10:09-19:06:39 2 pluto[19529]: | responder cookie:
2013:10:09-19:06:39 2 pluto[19529]: | f4 21 37 37 87 3a e4 74
2013:10:09-19:06:39 2 pluto[19529]: | next payload type: ISAKMP_NEXT_HASH
2013:10:09-19:06:39 2 pluto[19529]: | ISAKMP version: ISAKMP Version 1.0
2013:10:09-19:06:39 2 pluto[19529]: | exchange type: ISAKMP_XCHG_INFO
2013:10:09-19:06:39 2 pluto[19529]: | flags: ISAKMP_FLAG_ENCRYPTION
2013:10:09-19:06:39 2 pluto[19529]: | message ID: 67 0f b6 c5
2013:10:09-19:06:39 2 pluto[19529]: | ***emit ISAKMP Hash Payload:
2013:10:09-19:06:39 2 pluto[19529]: | next payload type: ISAKMP_NEXT_N
2013:10:09-19:06:39 2 pluto[19529]: | emitting 20 zero bytes of HASH into ISAKMP Hash Payload
2013:10:09-19:06:39 2 pluto[19529]: | emitting length of ISAKMP Hash Payload: 24
2013:10:09-19:06:39 2 pluto[19529]: | ***emit ISAKMP Notification Payload:
2013:10:09-19:06:39 2 pluto[19529]: | next payload type: ISAKMP_NEXT_NONE
2013:10:09-19:06:39 2 pluto[19529]: | DOI: ISAKMP_DOI_IPSEC
2013:10:09-19:06:39 2 pluto[19529]: | protocol ID: 1
2013:10:09-19:06:39 2 pluto[19529]: | SPI size: 0
2013:10:09-19:06:39 2 pluto[19529]: | Notify Message Type: INVALID_MESSAGE_ID
2013:10:09-19:06:39 2 pluto[19529]: | emitting 0 raw bytes of spi into ISAKMP Notification Payload
2013:10:09-19:06:39 2 pluto[19529]: | spi
2013:10:09-19:06:39 2 pluto[19529]: | emitting length of ISAKMP Notification Payload: 12
2013:10:09-19:06:39 2 pluto[19529]: | emitting 12 zero bytes of encryption padding into ISAKMP Message
2013:10:09-19:06:39 2 pluto[19529]: | emitting length of ISAKMP Message: 76
2013:10:09-19:06:39 2 pluto[19529]: | next event EVENT_NAT_T_KEEPALIVE in 49 seconds 


I Tried with different PC, Windows 7 and MAC, and from different places.no way.

I attached the error that I receive on Windows 7. 

I am using preshared key and Ip address pool on UTM side. 

Please help!!!![:S][:S][:S]


This thread was automatically locked due to age.
Parents
  • 0
    Debug is very, very rarely valuable, so don't ever turn it on unless an IPsec expert asks you to.  The only ones I know that are here occasionally are the Sophos VPN developers, but they usually only appear in the beta threads.

    I assume that the UTM is not behind a NATting router and that it has a public IP on its External interface.

    First, try #1 in https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065.  If that doesn't work, disable L2TP, start the IPsec Live Log and attempt a connection from a client.  Show us about 40 lines that represent a single failed connection attempt.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Debug is very, very rarely valuable, so don't ever turn it on unless an IPsec expert asks you to.  The only ones I know that are here occasionally are the Sophos VPN developers, but they usually only appear in the beta threads.

    I assume that the UTM is not behind a NATting router and that it has a public IP on its External interface.

    First, try #1 in https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065.  If that doesn't work, disable L2TP, start the IPsec Live Log and attempt a connection from a client.  Show us about 40 lines that represent a single failed connection attempt.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Hi Balfson, 

    Utm is behind a Nat router. Here the config:

    Router: Public IP: 10.20.30.40
    Router: Internal IP: 192.168.11.1
    UTM: External IP: 192.168.11.200
    UTM: Internal IP: 192.168.3.200

    I opened all port on Router and the destination NAT is 192.168.11.200. Everything is working good apart L2TP. 

    Is there a way to get L2TP working behind NAT ? Should I use Certificate instead pre-shared key?
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML