Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 3333 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

L2tp over Ipsec wont work

karlf
Dear folks,

I’ve done this several times without any issues at all.
But this time it seems to be special because the Astaro box is located behind an consumer based router which may be the problem !?

First I configured port forwarding rules at the consumer router to reach the Astaro....Secondly I defined the Astaro as DMZ device to get sure.

I get the following error logs during the establishment;  

2015:01:23-16:34:47 fw pluto[5575]: packet from :500: received Vendor ID payload [RFC 3947]
2015:01:23-16:34:47 fw pluto[5575]: packet from :500: ignoring Vendor ID payload [4df37928e9fc4fd1b3262170d515c662]
2015:01:23-16:34:47 fw pluto[5575]: packet from :500: ignoring Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
2015:01:23-16:34:47 fw pluto[5575]: packet from :500: ignoring Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
2015:01:23-16:34:47 fw pluto[5575]: packet from :500: ignoring Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
2015:01:23-16:34:47 fw pluto[5575]: packet from :500: ignoring Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
2015:01:23-16:34:47 fw pluto[5575]: packet from :500: ignoring Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
2015:01:23-16:34:47 fw pluto[5575]: packet from :500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2015:01:23-16:34:47 fw pluto[5575]: packet from :500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2015:01:23-16:34:47 fw pluto[5575]: packet from :500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2015:01:23-16:34:47 fw pluto[5575]: packet from :500: ignoring Vendor ID payload [FRAGMENTATION 80000000]
2015:01:23-16:34:47 fw pluto[5575]: packet from :500: received Vendor ID payload [Dead Peer Detection]
2015:01:23-16:34:47 fw pluto[5575]: "L_for user"[8]  #5: responding to Main Mode from unknown peer 
2015:01:23-16:34:47 fw pluto[5575]: "L_for user"[8]  #5: NAT-Traversal: Result using RFC 3947: both are NATed
2015:01:23-16:34:47 fw pluto[5575]: | NAT-T: new mapping :500/4500)
2015:01:23-16:34:47 fw pluto[5575]: "L_for user"[8] :4500 #5: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2015:01:23-16:34:47 fw pluto[5575]: "L_for user"[8] :4500 #5: Peer ID is ID_IPV4_ADDR: '192.168.23.25'
2015:01:23-16:34:47 fw pluto[5575]: "L_for user"[9] :4500 #5: deleting connection "L_for user"[8] instance with peer  {isakmp=#0/ipsec=#0}
2015:01:23-16:34:47 fw pluto[5575]: "L_for user"[9] :4500 #5: Dead Peer Detection (RFC 3706) enabled
2015:01:23-16:34:47 fw pluto[5575]: "L_for user"[9] :4500 #5: sent MR3, ISAKMP SA established
2015:01:23-16:34:48 fw pluto[5575]: "L_for user"[9] :4500 #5: cannot respond to IPsec SA request because no connection is known for /32===10.0.0.254:4500[10.0.0.254]:17/1701...:4500[192.168.23.25]:17/%any==={192.168.23.25/32}
2015:01:23-16:34:48 fw pluto[5575]: "L_for user"[9] :4500 #5: sending encrypted notification INVALID_ID_INFORMATION to :4500
2015:01:23-16:34:51 fw pluto[5575]: "L_for user"[9] :4500 #5: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x05bfe3ad (perhaps this is a duplicated packet)
2015:01:23-16:34:51 fw pluto[5575]: "L_for user"[9] :4500 #5: sending encrypted notification INVALID_MESSAGE_ID to :4500
2015:01:23-16:34:54 fw pluto[5575]: "L_for user"[9] :4500 #5: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x05bfe3ad (perhaps this is a duplicated packet)
2015:01:23-16:34:54 fw pluto[5575]: "L_for user"[9] :4500 #5: sending encrypted notification INVALID_MESSAGE_ID to :4500
2015:01:23-16:34:57 fw pluto[5575]: "L_for user"[9] :4500 #5: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x05bfe3ad (perhaps this is a duplicated packet)
2015:01:23-16:34:57 fw pluto[5575]: "L_for user"[9] :4500 #5: sending encrypted notification INVALID_MESSAGE_ID to :4500
2015:01:23-16:35:01 fw pluto[5575]: "L_for user"[9] :4500 #5: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x05bfe3ad (perhaps this is a duplicated packet)
2015:01:23-16:35:01 fw pluto[5575]: "L_for user"[9] :4500 #5: sending encrypted notification INVALID_MESSAGE_ID to :4500
2015:01:23-16:35:04 fw pluto[5575]: "L_for user"[9] :4500 #5: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x05bfe3ad (perhaps this is a duplicated packet)
2015:01:23-16:35:04 fw pluto[5575]: "L_for user"[9] :4500 #5: sending encrypted notification INVALID_MESSAGE_ID to :4500
2015:01:23-16:35:07 fw pluto[5575]: "L_for user"[9] :4500 #5: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x05bfe3ad (perhaps this is a duplicated packet)
2015:01:23-16:35:07 fw pluto[5575]: "L_for user"[9] :4500 #5: sending encrypted notification INVALID_MESSAGE_ID to :4500
2015:01:23-16:35:10 fw pluto[5575]: "L_for user"[9] :4500 #5: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x05bfe3ad (perhaps this is a duplicated packet)
2015:01:23-16:35:10 fw pluto[5575]: "L_for user"[9] :4500 #5: sending encrypted notification INVALID_MESSAGE_ID to :4500
2015:01:23-16:35:13 fw pluto[5575]: "L_for user"[9] :4500 #5: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x05bfe3ad (perhaps this is a duplicated packet)
2015:01:23-16:35:13 fw pluto[5575]: "L_for user"[9] :4500 #5: sending encrypted notification INVALID_MESSAGE_ID to :4500
2015:01:23-16:35:16 fw pluto[5575]: "L_for user"[9] :4500 #5: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x05bfe3ad (perhaps this is a duplicated packet)
2015:01:23-16:35:16 fw pluto[5575]: "L_for user"[9] :4500 #5: sending encrypted notification INVALID_MESSAGE_ID to :4500
2015:01:23-16:35:18 fw pluto[5575]: "L_for user"[9] :4500 #5: received Delete SA payload: deleting ISAKMP State #5

Any Ideas?


This thread was automatically locked due to age.
  • 0
    Hi, karif, and welcome!

    Look at the last message at 16:34:47 - Phase 1 was successful.  The first encrypted message, which immediately followed that at 16:34:48, failed because the UTM is behind a NATting router.  You must use a non-IPsec Remote Access method (like the SSL VPN or PPTP) or bridge the router so that the public IP is on the UTM.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    thanks for your quick respond...Unfortunately I cannot use SSL or other solutions because I just own a essential license. Further the connection has to be secure so PPTP is also not an option.

    Do you see a way to make this work anyway eg. with static routes or remote static ip adresses and or to edit the ipsec config manually !?

    I was doing a bit of research and it seems to be a tricky well known issue BUT there should be solution isn't it ?
  • 0
    @Karlf:  As you say, 
    behind an consumer based router which may be the problem
    .  As Bob said, bridge the consumer router
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    Unfortunately this is also not an option for me because this bloody consumer based router handles the lan network which is not my business...I mean this is supported by someone else...That's why I face a very special ipsec challenge in a double nat environment....
Unfiltered HTML