Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 8527 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

L2TP VPN not working on UTM interface Outside

MartinBozko
I have Sophos UTM SG210 box with fw 9.209-8.
Outside interface has public IP address and PPTP VPN (with RADIUS) is working without any problems.
L2TP over IPsec VPN has settings:
Preshared key: word.pass
Assign IP address by: IP address pool - VPN pool (L2TP)  [default one with IP: 10.242.3.0/24]
Authentication via: RADIUS

This L2TP VPN is working only on interface Inside (from inside network). 
When I try to use interface Outside it is not working.
Client is Windows 2012 or Windows 8.1 with settings:
IP address: E.F.G.H (primary IP of Outside interface)
type: L2TP 
preshared key: word.pass
Optional encryption (I tryied all options)
Allow protocols: CHAP, MS-CHAPv2
Same client options are working from inside.

I tryied to change:
UTM options L2TP Debugging - on/off
IPsec - advanced - Use NAT traversal - on/off
IPsec - advanced - Enable probing of preshared keys - on/off

I think, it is a bug in UTM.
Is there somebody using L2TP VPN on UTM box.

There is IPsec VPN log file:

[SIZE="2"][FONT="System"]
listening for IKE messages
forgetting secrets
loading secrets from "/etc/ipsec.secrets"
loaded PSK secret for E.F.G.H %any
forgetting secrets
loading secrets from "/etc/ipsec.secrets"
loaded PSK secret for E.F.G.H %any
loading ca certificates from '/etc/ipsec.d/cacerts'
loaded ca certificate from '/etc/ipsec.d/cacerts/cert .***xx Verification CA 1.pem'
loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
loaded ca certificate from '/etc/ipsec.d/cacerts/cert ******x Verification CA 1.pem'
loaded ca certificate from '/etc/ipsec.d/cacerts/cert ******x Verification CA 2.pem'
loading aa certificates from '/etc/ipsec.d/aacerts'
loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
loading attribute certificates from '/etc/ipsec.d/acerts'
Changing to directory '/etc/ipsec.d/crls' 

packet from A.B.C.D:14739: ignoring Vendor ID payload [01528bbbc00696121849ab9a1c5b2a5100000001]
packet from A.B.C.D:14739: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000009]
packet from A.B.C.D:14739: received Vendor ID payload [RFC 3947]
packet from A.B.C.D:14739: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
packet from A.B.C.D:14739: ignoring Vendor ID payload [FRAGMENTATION]
packet from A.B.C.D:14739: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]
packet from A.B.C.D:14739: ignoring Vendor ID payload [Vid-Initial-Contact]
packet from A.B.C.D:14739: ignoring Vendor ID payload [IKE CGA version 1]
packet from A.B.C.D:14739: initial Main Mode message received on E.F.G.H:500 but no connection has been authorized with policy=PUBKEY

packet from A.B.C.D:14739: ignoring Vendor ID payload [01528bbbc00696121849ab9a1c5b2a5100000001]
packet from A.B.C.D:14739: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000009]
packet from A.B.C.D:14739: received Vendor ID payload [RFC 3947]
packet from A.B.C.D:14739: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
packet from A.B.C.D:14739: ignoring Vendor ID payload [FRAGMENTATION]
packet from A.B.C.D:14739: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]
packet from A.B.C.D:14739: ignoring Vendor ID payload [Vid-Initial-Contact]
packet from A.B.C.D:14739: ignoring Vendor ID payload [IKE CGA version 1]
packet from A.B.C.D:14739: initial Main Mode message received on E.F.G.H:500 but no connection has been authorized with policy=PUBKEY

[/FONT][/SIZE]


This thread was automatically locked due to age.
Parents
  • 0
    GetParanoid,

    Thanks for answer.
    I have Spoof protection = Off
    What VPN client are you using with L2TP VPN?
    Windows 8.1 x64 and Windows 2012 builtin VPN clients cannot connect to my UTM.
    Android 4.4 phone can connect.

    Mato
  • 0 in reply to MartinBozko
    What VPN client are you using with L2TP VPN?
    Mato


    I already had a VPN server (iVPN) running on an internal Mac. I first tested with it which required PF rule and DNAT. I later disabled this and tested with Astaro's own L2TP server.

    The clients I tested with both setups were iPhone6+ w/IOS8.1, Snow Leopard 10.6.8, iPhone2G w/IOS3, Android4.0 HDMI stick, and Vista (disclaimer - Vista was NOT mine, I'm not claiming that turd)

    All were successful except for the Android4.0 stick, which I researched and discovered had known issues with L2TP. My understanding was that this issue was later ironed out but can't confirm if it was. I was able to connect the Android4.0 stick with OpenVPN just fine.

    Sounds like you're on your way to getting it ironed out so that's good.

     “Stay paranoid, my friends.”

Reply
  • 0 in reply to MartinBozko
    What VPN client are you using with L2TP VPN?
    Mato


    I already had a VPN server (iVPN) running on an internal Mac. I first tested with it which required PF rule and DNAT. I later disabled this and tested with Astaro's own L2TP server.

    The clients I tested with both setups were iPhone6+ w/IOS8.1, Snow Leopard 10.6.8, iPhone2G w/IOS3, Android4.0 HDMI stick, and Vista (disclaimer - Vista was NOT mine, I'm not claiming that turd)

    All were successful except for the Android4.0 stick, which I researched and discovered had known issues with L2TP. My understanding was that this issue was later ironed out but can't confirm if it was. I was able to connect the Android4.0 stick with OpenVPN just fine.

    Sounds like you're on your way to getting it ironed out so that's good.

     “Stay paranoid, my friends.”

Children
No Data
Unfiltered HTML