Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 8535 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

L2TP VPN not working on UTM interface Outside

MartinBozko
I have Sophos UTM SG210 box with fw 9.209-8.
Outside interface has public IP address and PPTP VPN (with RADIUS) is working without any problems.
L2TP over IPsec VPN has settings:
Preshared key: word.pass
Assign IP address by: IP address pool - VPN pool (L2TP)  [default one with IP: 10.242.3.0/24]
Authentication via: RADIUS

This L2TP VPN is working only on interface Inside (from inside network). 
When I try to use interface Outside it is not working.
Client is Windows 2012 or Windows 8.1 with settings:
IP address: E.F.G.H (primary IP of Outside interface)
type: L2TP 
preshared key: word.pass
Optional encryption (I tryied all options)
Allow protocols: CHAP, MS-CHAPv2
Same client options are working from inside.

I tryied to change:
UTM options L2TP Debugging - on/off
IPsec - advanced - Use NAT traversal - on/off
IPsec - advanced - Enable probing of preshared keys - on/off

I think, it is a bug in UTM.
Is there somebody using L2TP VPN on UTM box.

There is IPsec VPN log file:

[SIZE="2"][FONT="System"]
listening for IKE messages
forgetting secrets
loading secrets from "/etc/ipsec.secrets"
loaded PSK secret for E.F.G.H %any
forgetting secrets
loading secrets from "/etc/ipsec.secrets"
loaded PSK secret for E.F.G.H %any
loading ca certificates from '/etc/ipsec.d/cacerts'
loaded ca certificate from '/etc/ipsec.d/cacerts/cert .***xx Verification CA 1.pem'
loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
loaded ca certificate from '/etc/ipsec.d/cacerts/cert ******x Verification CA 1.pem'
loaded ca certificate from '/etc/ipsec.d/cacerts/cert ******x Verification CA 2.pem'
loading aa certificates from '/etc/ipsec.d/aacerts'
loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
loading attribute certificates from '/etc/ipsec.d/acerts'
Changing to directory '/etc/ipsec.d/crls' 

packet from A.B.C.D:14739: ignoring Vendor ID payload [01528bbbc00696121849ab9a1c5b2a5100000001]
packet from A.B.C.D:14739: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000009]
packet from A.B.C.D:14739: received Vendor ID payload [RFC 3947]
packet from A.B.C.D:14739: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
packet from A.B.C.D:14739: ignoring Vendor ID payload [FRAGMENTATION]
packet from A.B.C.D:14739: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]
packet from A.B.C.D:14739: ignoring Vendor ID payload [Vid-Initial-Contact]
packet from A.B.C.D:14739: ignoring Vendor ID payload [IKE CGA version 1]
packet from A.B.C.D:14739: initial Main Mode message received on E.F.G.H:500 but no connection has been authorized with policy=PUBKEY

packet from A.B.C.D:14739: ignoring Vendor ID payload [01528bbbc00696121849ab9a1c5b2a5100000001]
packet from A.B.C.D:14739: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000009]
packet from A.B.C.D:14739: received Vendor ID payload [RFC 3947]
packet from A.B.C.D:14739: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
packet from A.B.C.D:14739: ignoring Vendor ID payload [FRAGMENTATION]
packet from A.B.C.D:14739: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]
packet from A.B.C.D:14739: ignoring Vendor ID payload [Vid-Initial-Contact]
packet from A.B.C.D:14739: ignoring Vendor ID payload [IKE CGA version 1]
packet from A.B.C.D:14739: initial Main Mode message received on E.F.G.H:500 but no connection has been authorized with policy=PUBKEY

[/FONT][/SIZE]


This thread was automatically locked due to age.
Parents
  • 0
    Mato,

    I'm new here so I'm not sure I should be handing out advice, I'm still learning myself. I am successfully using L2TP VPN on 9.301-2 but with just password & shared secret, so I can tell you that at least this type authentication on this build does work. I have not changed my hostname.

    I am violating "zero rule" because my hostname isn't FQDN. Wasn't trying to be a rebel, just didn't come across "rulz" before I configured box. I don't run external DNS and have static public ip, I can access remotely so I'm not sure what damage this is doing to me in my case by not having FQDN hostname.

     “Stay paranoid, my friends.”

Reply
  • 0
    Mato,

    I'm new here so I'm not sure I should be handing out advice, I'm still learning myself. I am successfully using L2TP VPN on 9.301-2 but with just password & shared secret, so I can tell you that at least this type authentication on this build does work. I have not changed my hostname.

    I am violating "zero rule" because my hostname isn't FQDN. Wasn't trying to be a rebel, just didn't come across "rulz" before I configured box. I don't run external DNS and have static public ip, I can access remotely so I'm not sure what damage this is doing to me in my case by not having FQDN hostname.

     “Stay paranoid, my friends.”

Children
No Data
Unfiltered HTML