Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 6619 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Azure Site to Site Trouble

techfox
Using a Sophos UTM 9, current firmware up to this morning. I've set up the VPN largely like i've seen here on the boards and also messed with the key times to make sure that wasn't an issue. The modem provided by AT&T is passing everything through, no filtering. 

I'm somewhat at a loss here. Tried redoing the entire configuration on the VPN portion, no luck.

IP addresses on the Azure side are 10.0.0.0 and whatever gateway they require be setup. Gateway is setup. Static configuration. PSK.

Local side is 192.168.1.X. 

Attached are screenshots of configuration and the messages I see.

Am I missing something here, and thanks in advance!

2015:04:28-16:23:16 stl pluto[6578]: "S_Azure" #22: ignoring Vendor ID payload [FRAGMENTATION] 

2015:04:28-16:23:16 stl pluto[6578]: "S_Azure" #22: ignoring Vendor ID payload [MS-Negotiation Discovery Capable] 

2015:04:28-16:23:16 stl pluto[6578]: "S_Azure" #22: ignoring Vendor ID payload [IKE CGA version 1] 

2015:04:28-16:23:16 stl pluto[6578]: "S_Azure" #22: enabling possible NAT-traversal with method 3 

2015:04:28-16:23:16 stl pluto[6578]: "S_Azure" #22: NAT-Traversal: Result using RFC 3947: no NAT detected 

2015:04:28-16:23:16 stl pluto[6578]: "S_Azure" #22: Peer ID is ID_IPV4_ADDR: '23.100.78.213' 

2015:04:28-16:23:16 stl pluto[6578]: "S_Azure" #22: ISAKMP SA established 

2015:04:28-16:23:16 stl pluto[6578]: "S_Azure" #23: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP {using isakmp#22} 

2015:04:28-16:23:16 stl pluto[6578]: "S_Azure" #22: ignoring informational payload, type INVALID_ID_INFORMATION 

2015:04:28-16:23:26 stl pluto[6578]: "S_Azure" #22: ignoring informational payload, type INVALID_ID_INFORMATION 

2015:04:28-16:23:46 stl pluto[6578]: "S_Azure" #22: ignoring informational payload, type INVALID_ID_INFORMATION 

2015:04:28-16:23:57 stl pluto[6578]: "S_Azure" #22: cannot respond to IPsec SA request because no connection is known for 192.168.1.0/29===108.82.152.89[108.82.152.89]...23.100.78.213[23.100.78.213]===10.0.0.0/20 

2015:04:28-16:23:57 stl pluto[6578]: "S_Azure" #22: sending encrypted notification INVALID_ID_INFORMATION to 23.100.78.213:500 

2015:04:28-16:23:58 stl pluto[6578]: "S_Azure" #22: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x00000080 (perhaps this is a duplicated packet) 

2015:04:28-16:23:58 stl pluto[6578]: "S_Azure" #22: sending encrypted notification INVALID_MESSAGE_ID to 23.100.78.213:500 

2015:04:28-16:23:59 stl pluto[6578]: "S_Azure" #22: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x00000080 (perhaps this is a duplicated packet) 

2015:04:28-16:23:59 stl pluto[6578]: "S_Azure" #22: sending encrypted notification INVALID_MESSAGE_ID to 23.100.78.213:500 

2015:04:28-16:24:02 stl pluto[6578]: "S_Azure" #22: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x00000080 (perhaps this is a duplicated packet) 

2015:04:28-16:24:02 stl pluto[6578]: "S_Azure" #22: sending encrypted notification INVALID_MESSAGE_ID to 23.100.78.213:500 

2015:04:28-16:24:09 stl pluto[6578]: "S_Azure" #22: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x00000080 (perhaps this is a duplicated packet) 

2015:04:28-16:24:09 stl pluto[6578]: "S_Azure" #22: sending encrypted notification INVALID_MESSAGE_ID to 23.100.78.213:500 

2015:04:28-16:24:24 stl pluto[6578]: "S_Azure" #22: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x00000080 (perhaps this is a duplicated packet) 

2015:04:28-16:24:24 stl pluto[6578]: "S_Azure" #22: sending encrypted notification INVALID_MESSAGE_ID to 23.100.78.213:500 

2015:04:28-16:24:26 stl pluto[6578]: "S_Azure" #23: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal 

2015:04:28-16:24:26 stl pluto[6578]: "S_Azure" #23: starting keying attempt 2 of an unlimited number 

2015:04:28-16:24:26 stl pluto[6578]: "S_Azure" #24: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP to replace #23 {using isakmp#22} 

2015:04:28-16:24:26 stl pluto[6578]: "S_Azure" #22: ignoring informational payload, type INVALID_ID_INFORMATION 

2015:04:28-16:24:36 stl pluto[6578]: "S_Azure" #22: ignoring informational payload, type INVALID_ID_INFORMATION 

2015:04:28-16:24:39 stl pluto[6578]: "S_Azure" #22: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x00000080 (perhaps this is a duplicated packet) 

2015:04:28-16:24:39 stl pluto[6578]: "S_Azure" #22: sending encrypted notification INVALID_MESSAGE_ID to 23.100.78.213:500


This thread was automatically locked due to age.
  • 0
    Hi, and welcome to the User BB!

    Do you see Anti-UDP flooding activity in the Intrusion Prevention log?

    Cheers - Bob

    proto="17" length="56" tos="0x00"
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi, and welcome to the User BB!

    Do you see Anti-UDP flooding activity in the Intrusion Prevention log?

    Cheers - Bob

    proto="17" length="56" tos="0x00"


    I do see some pointed at ISAKMP udp/500 with the IP referenced. Just 12 though, which seems low for the amount of attempts it has tried today so far. 

    Here's the current log cut after I added any / any to the IP in the firewall to clear it.

    2015:04:28-19:44:01 stl pluto[6578]: "S_Azure" #224: responding to Main Mode 

    2015:04:28-19:44:01 stl pluto[6578]: "S_Azure" #224: NAT-Traversal: Result using RFC 3947: no NAT detected 

    2015:04:28-19:44:01 stl pluto[6578]: "S_Azure" #224: Peer ID is ID_IPV4_ADDR: '23.100.78.213' 

    2015:04:28-19:44:01 stl pluto[6578]: "S_Azure" #224: sent MR3, ISAKMP SA established 

    2015:04:28-19:44:01 stl pluto[6578]: "S_Azure" #224: cannot respond to IPsec SA request because no connection is known for 192.168.1.0/29===108.82.152.89[108.82.152.89]...23.100.78.213[23.100.78.213]===10.0.0.0/20 

    2015:04:28-19:44:01 stl pluto[6578]: "S_Azure" #224: sending encrypted notification INVALID_ID_INFORMATION to 23.100.78.213:500 

    2015:04:28-19:44:02 stl pluto[6578]: "S_Azure" #224: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet) 

    2015:04:28-19:44:02 stl pluto[6578]: "S_Azure" #224: sending encrypted notification INVALID_MESSAGE_ID to 23.100.78.213:500 

    2015:04:28-19:44:03 stl pluto[6578]: "S_Azure" #224: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet) 

    2015:04:28-19:44:03 stl pluto[6578]: "S_Azure" #224: sending encrypted notification INVALID_MESSAGE_ID to 23.100.78.213:500 

    2015:04:28-19:44:06 stl pluto[6578]: "S_Azure" #224: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet) 

    2015:04:28-19:44:06 stl pluto[6578]: "S_Azure" #224: sending encrypted notification INVALID_MESSAGE_ID to 23.100.78.213:500 

    2015:04:28-19:44:13 stl pluto[6578]: "S_Azure" #224: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet) 

    2015:04:28-19:44:13 stl pluto[6578]: "S_Azure" #224: sending encrypted notification INVALID_MESSAGE_ID to 23.100.78.213:500 

    2015:04:28-19:44:28 stl pluto[6578]: "S_Azure" #224: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet) 

    2015:04:28-19:44:28 stl pluto[6578]: "S_Azure" #224: sending encrypted notification INVALID_MESSAGE_ID to 23.100.78.213:500 

    2015:04:28-19:44:43 stl pluto[6578]: "S_Azure" #224: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet) 

    2015:04:28-19:44:43 stl pluto[6578]: "S_Azure" #224: sending encrypted notification INVALID_MESSAGE_ID to 23.100.78.213:500 

    2015:04:28-19:44:58 stl pluto[6578]: "S_Azure" #224: received Delete SA payload: deleting ISAKMP State #224 

    2015:04:28-19:44:58 stl pluto[6578]: packet from 23.100.78.213:500: ignoring Vendor ID payload [01528bbbc00696121849ab9a1c5b2a5100000001] 

    2015:04:28-19:44:58 stl pluto[6578]: packet from 23.100.78.213:500: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000009] 

    2015:04:28-19:44:58 stl pluto[6578]: packet from 23.100.78.213:500: received Vendor ID payload [RFC 3947] 

    2015:04:28-19:44:58 stl pluto[6578]: packet from 23.100.78.213:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] 

    2015:04:28-19:44:58 stl pluto[6578]: packet from 23.100.78.213:500: ignoring Vendor ID payload [FRAGMENTATION] 

    2015:04:28-19:44:58 stl pluto[6578]: packet from 23.100.78.213:500: ignoring Vendor ID payload [MS-Negotiation Discovery Capable] 

    2015:04:28-19:44:58 stl pluto[6578]: packet from 23.100.78.213:500: ignoring Vendor ID payload [Vid-Initial-Contact] 

    2015:04:28-19:44:58 stl pluto[6578]: packet from 23.100.78.213:500: ignoring Vendor ID payload [IKE CGA version 1]
  • 0 in reply to techfox

    I'm having the same problem.  Any luck with this?

  • 0 in reply to PierceMacMillan

    UTM does not support dynamic Azure VPN.

    Cheers - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML