Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 8538 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

L2TP VPN not working on UTM interface Outside

MartinBozko
I have Sophos UTM SG210 box with fw 9.209-8.
Outside interface has public IP address and PPTP VPN (with RADIUS) is working without any problems.
L2TP over IPsec VPN has settings:
Preshared key: word.pass
Assign IP address by: IP address pool - VPN pool (L2TP)  [default one with IP: 10.242.3.0/24]
Authentication via: RADIUS

This L2TP VPN is working only on interface Inside (from inside network). 
When I try to use interface Outside it is not working.
Client is Windows 2012 or Windows 8.1 with settings:
IP address: E.F.G.H (primary IP of Outside interface)
type: L2TP 
preshared key: word.pass
Optional encryption (I tryied all options)
Allow protocols: CHAP, MS-CHAPv2
Same client options are working from inside.

I tryied to change:
UTM options L2TP Debugging - on/off
IPsec - advanced - Use NAT traversal - on/off
IPsec - advanced - Enable probing of preshared keys - on/off

I think, it is a bug in UTM.
Is there somebody using L2TP VPN on UTM box.

There is IPsec VPN log file:

[SIZE="2"][FONT="System"]
listening for IKE messages
forgetting secrets
loading secrets from "/etc/ipsec.secrets"
loaded PSK secret for E.F.G.H %any
forgetting secrets
loading secrets from "/etc/ipsec.secrets"
loaded PSK secret for E.F.G.H %any
loading ca certificates from '/etc/ipsec.d/cacerts'
loaded ca certificate from '/etc/ipsec.d/cacerts/cert .***xx Verification CA 1.pem'
loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
loaded ca certificate from '/etc/ipsec.d/cacerts/cert ******x Verification CA 1.pem'
loaded ca certificate from '/etc/ipsec.d/cacerts/cert ******x Verification CA 2.pem'
loading aa certificates from '/etc/ipsec.d/aacerts'
loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
loading attribute certificates from '/etc/ipsec.d/acerts'
Changing to directory '/etc/ipsec.d/crls' 

packet from A.B.C.D:14739: ignoring Vendor ID payload [01528bbbc00696121849ab9a1c5b2a5100000001]
packet from A.B.C.D:14739: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000009]
packet from A.B.C.D:14739: received Vendor ID payload [RFC 3947]
packet from A.B.C.D:14739: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
packet from A.B.C.D:14739: ignoring Vendor ID payload [FRAGMENTATION]
packet from A.B.C.D:14739: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]
packet from A.B.C.D:14739: ignoring Vendor ID payload [Vid-Initial-Contact]
packet from A.B.C.D:14739: ignoring Vendor ID payload [IKE CGA version 1]
packet from A.B.C.D:14739: initial Main Mode message received on E.F.G.H:500 but no connection has been authorized with policy=PUBKEY

packet from A.B.C.D:14739: ignoring Vendor ID payload [01528bbbc00696121849ab9a1c5b2a5100000001]
packet from A.B.C.D:14739: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000009]
packet from A.B.C.D:14739: received Vendor ID payload [RFC 3947]
packet from A.B.C.D:14739: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
packet from A.B.C.D:14739: ignoring Vendor ID payload [FRAGMENTATION]
packet from A.B.C.D:14739: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]
packet from A.B.C.D:14739: ignoring Vendor ID payload [Vid-Initial-Contact]
packet from A.B.C.D:14739: ignoring Vendor ID payload [IKE CGA version 1]
packet from A.B.C.D:14739: initial Main Mode message received on E.F.G.H:500 but no connection has been authorized with policy=PUBKEY

[/FONT][/SIZE]


This thread was automatically locked due to age.
Parents
  • 0
    I am using L2TP with PSK, not with certificates.

    I changed hostmane of UMT after setting up.
    Today I did this:
    - create bacup without unique data, then 
    - restore UTM from this backup (without restart)
    - change inside IP address and VLAN on switch (because my LAN is not simple and I can not access IP witout static routes = this was unnecessary because internal IP address remains after restore)
    - reload UTM (now I can access changed IP)
    - start initial wizard
    - use hostname that will not changed later (BB-FW01.mycompany.sk)
    - add license from file
    - add all IP addresses on interfaces and additional IP adresses
    - change inside IP address and VLAN on switch
    - add *.mycompany.sk DigiCert certificate (this one was used for WAF and was missing afted restore)
    - deleted old (not used) certificates for mail.mycompany.sk 
    - reload UMT

    I checked L2TP VPN and it is still same. It is not working and IPsec VPN log shows same as before.
    Do you have L2TP VPN on your UTM and is it working now?
    Can you check it?

    Cheers
    Mato
Reply
  • 0
    I am using L2TP with PSK, not with certificates.

    I changed hostmane of UMT after setting up.
    Today I did this:
    - create bacup without unique data, then 
    - restore UTM from this backup (without restart)
    - change inside IP address and VLAN on switch (because my LAN is not simple and I can not access IP witout static routes = this was unnecessary because internal IP address remains after restore)
    - reload UTM (now I can access changed IP)
    - start initial wizard
    - use hostname that will not changed later (BB-FW01.mycompany.sk)
    - add license from file
    - add all IP addresses on interfaces and additional IP adresses
    - change inside IP address and VLAN on switch
    - add *.mycompany.sk DigiCert certificate (this one was used for WAF and was missing afted restore)
    - deleted old (not used) certificates for mail.mycompany.sk 
    - reload UMT

    I checked L2TP VPN and it is still same. It is not working and IPsec VPN log shows same as before.
    Do you have L2TP VPN on your UTM and is it working now?
    Can you check it?

    Cheers
    Mato
Children
No Data
Unfiltered HTML