Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro Secure Client - zickt rum und connected nicht - brauche Hilfe

Hallo miteinander,

ich möchte den AstaroSecureClient mit der Astaro verbinden lassen und habe es nach der Anleitung - knowledgebase (Astaro Secure Client X.509 Roadwarrior How-To) gemacht. Das funktioniert leider nicht.

Meine Astaro-Firewall(6.311) hat eine statische IP und zu Hause habe ich dsl mit dynamischerIP, Linksys-router wrt54g, WinXP SP2 und ASC 8.21(108).

Ich habe die LOG's der Astaro Firewall und des SecureClients angehängt.

Vielleicht hat jemand mal einen Tip?
Ich habe am Client nichts per Hand eingestellt, sondern alles von der Firewall importiert und mich streng an die Anleitung gehalten.




Errormessages:
Astaro 6.311 IPSec Logfile



2007:09:04-13:46:05 (none) pluto[6281]: packet from 217.95.218.72:500: ignoring unknown Vendor ID payload [da8e937880010000]

2007:09:04-13:46:05 (none) pluto[6281]: packet from 217.95.218.72:500: received Vendor ID payload [XAUTH]

2007:09:04-13:46:05 (none) pluto[6281]: packet from 217.95.218.72:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] method set to=108

2007:09:04-13:46:05 (none) pluto[6281]: packet from 217.95.218.72:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] meth=106, but already using method 108

2007:09:04-13:46:05 (none) pluto[6281]: packet from 217.95.218.72:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]

2007:09:04-13:46:05 (none) pluto[6281]: packet from 217.95.218.72:500: received Vendor ID payload [RFC 3947] method set to=109

2007:09:04-13:46:05 (none) pluto[6281]: packet from 217.95.218.72:500: received Vendor ID payload [Dead Peer Detection]

2007:09:04-13:46:05 (none) pluto[6281]: packet from 217.95.218.72:500: ignoring unknown Vendor ID payload [101fb0b35c5a4f4c08b919f1cf53c96a]

2007:09:04-13:46:05 (none) pluto[6281]: packet from 217.95.218.72:500: received Vendor ID payload [Cisco-Unity]

2007:09:04-13:46:05 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: responding to Main Mode from unknown peer 217.95.218.72

2007:09:04-13:46:05 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1

2007:09:04-13:46:05 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: STATE_MAIN_R1: sent MR1, expecting MI2

2007:09:04-13:46:05 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: NAT-Traversal: Result using 3: peer is NATed

2007:09:04-13:46:05 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2

2007:09:04-13:46:05 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: STATE_MAIN_R2: sent MR2, expecting MI3

2007:09:04-13:46:06 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: ignoring informational payload, type IPSEC_INITIAL_CONTACT

2007:09:04-13:46:06 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: Main mode peer ID is ID_DER_ASN1_DN: 'C=de, ST=Bayern, L=Alzenau, O=EASi, OU=EDV, CN=krischeu, E=heinz.krischeu@carhs.de'

2007:09:04-13:46:06 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: no crl from issuer "C=de, ST=Bayern, L=Alzenau, O=EASi, OU=EDV, CN=AstaroAlzenauRootCAcert, E=heinz.krischeu@easi.de" found (strict=no)

2007:09:04-13:46:06 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: I am sending my cert

2007:09:04-13:46:06 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3

2007:09:04-13:46:06 (none) pluto[6281]: | NAT-T: new mapping 217.95.218.72:500/4500)

2007:09:04-13:46:06 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: STATE_MAIN_R3: sent MR3, ISAKMP SA established {auth=OAKLEY_RSA_SIG cipher=aes_256 prf=oakley_md5 group=modp1536}

2007:09:04-13:46:06 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: Dead Peer Detection (RFC 3706): enabled

2007:09:04-13:46:06 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: Virtual IP 10.168.23.1/32 is already used by '195.135.152.190'

2007:09:04-13:46:06 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: Your ID is 'C=de, ST=Bayern, L=Alzenau, O=EASi, OU=EDV, CN=krischeu, E=heinz.krischeu@carhs.de'

2007:09:04-13:46:06 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: Virtual IP 10.168.23.1/32 is already used by '195.135.152.190'

2007:09:04-13:46:06 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: Your ID is 'C=de, ST=Bayern, L=Alzenau, O=EASi, OU=EDV, CN=krischeu, E=heinz.krischeu@carhs.de'

2007:09:04-13:46:06 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: cannot respond to IPsec SA request because no connection is known for 192.168.0.0/24===195.30.37.65[C=de, ST=Bayern, L=Alzenau, O=EASi, OU=EDV, CN=ASGAlzenauHostCSR, E=heinz.krischeu@easi.de]...217.95.218.72[C=de, ST=Bayern, L=Alzenau, O=EASi, OU=EDV, CN=krischeu, E=heinz.krischeu@carhs.de]===10.168.23.1/32

2007:09:04-13:46:06 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: sending encrypted notification INVALID_ID_INFORMATION to 217.95.218.72:4500

2007:09:04-13:46:09 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xbba167e5 (perhaps this is a duplicated packet)

2007:09:04-13:46:09 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: sending encrypted notification INVALID_MESSAGE_ID to 217.95.218.72:4500

2007:09:04-13:46:12 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xbba167e5 (perhaps this is a duplicated packet)

2007:09:04-13:46:12 (none) pluto[6281]: "D_krischeu_0"[2] 217.95.218.72 #12644: sending encrypted notification INVALID_MESSAGE_ID to 217.95.218.72:4500









NCP – Astaro Secure Client 8.21



04.09.2007 13:21:53 IPSDIALCHAN::start building connection

04.09.2007 13:21:57 IPSDIALCHAN::start building connection

04.09.2007 13:21:57 NCPIKE-phase1:name(krischeu) - outgoing connect request - main mode.

04.09.2007 13:21:57 XMIT_MSG1_MAIN - krischeu

04.09.2007 13:21:57 RECV_MSG2_MAIN - krischeu

04.09.2007 13:21:57 IPSDIAL->FINAL_TUNNEL_ENDPOINT:195.030.037.065

04.09.2007 13:21:57 IKE phase I: Setting LifeTime to 7800 seconds

04.09.2007 13:21:57 krischeu ->Support for NAT-T version - 9

04.09.2007 13:21:57 XMIT_MSG3_MAIN - krischeu

04.09.2007 13:21:58 RECV_MSG4_MAIN - krischeu

04.09.2007 13:21:58 Turning on NATD mode - krischeu - 1

04.09.2007 13:21:58 XMIT_MSG5_MAIN - krischeu

04.09.2007 13:21:58 XMIT_MSG5_MAIN_RESUME - krischeu

04.09.2007 13:21:58 RECV_MSG6_MAIN - krischeu

04.09.2007 13:21:59 RECV_MSG6_MAIN_RESUME - krischeu

04.09.2007 13:21:59 Turning on DPD mode - krischeu

04.09.2007 13:21:59 NCPIKE-phase1:name(krischeu) - connected

04.09.2007 13:21:59 XMIT_MSG1_QUICK - krischeu

04.09.2007 13:21:59 NOTIFY : krischeu : RECEIVED : INVALID_ID_INFORMATION

04.09.2007 13:22:01 NOTIFY : krischeu : RECEIVED : INVALID_MESSAGE_ID

04.09.2007 13:22:04 NOTIFY : krischeu : RECEIVED : INVALID_MESSAGE_ID

04.09.2007 13:22:07 NOTIFY : krischeu : RECEIVED : INVALID_MESSAGE_ID

04.09.2007 13:22:10 NCPIKE-phase2:name(krischeu) - error - retry timeout - max retries

04.09.2007 13:22:10 IPSDIAL - disconnected from krischeu on channel 1.


This thread was automatically locked due to age.
Parents
  • Hallo Heinz,

    was du mal probieren kannst, ist dem User eine Statische IP zu geben, und diese auch im ASC einzurichten. Wenn du automatische Regeln ausgeschaltet hast, solltest du auch noch eine Firewall-Regel und eine NAT Regel machen.

    Vielleicht klappts.

    Gruß
    Jens
  • Hallo Jens,

    danke für die Antwort. Über die Astaro und dort unter IPSec/remotekeys gab es den Eintrag für meinen remoteVPN-Schlüssel (CA Management Remote Keys).
    Mit edit habe ich dort die virtuelle IP eingetragen, die ich mir aus den rippen gesaugt habe. Unter Networks habe ich den Eintrag IPSEC-POOL 10.123.x.x/24 gefunden und mir die 10.123.x.1 gegeben.

    So hat es in der Anleitung gestanden.

    Laut den Logfiles gibt es das Problem nicht beim connecten, sondern irgendie mit dem Schlüssel.

    04.09.2007 13:21:59 NCPIKE-phase1:name(krischeu) - connected

    04.09.2007 13:21:59 XMIT_MSG1_QUICK - krischeu

    04.09.2007 13:21:59 NOTIFY : krischeu : RECEIVED : INVALID_ID_INFORMATION

    04.09.2007 13:22:01 NOTIFY : krischeu : RECEIVED : INVALID_MESSAGE_ID

    04.09.2007 13:22:04 NOTIFY : krischeu : RECEIVED : INVALID_MESSAGE_ID

    04.09.2007 13:22:07 NOTIFY : krischeu : RECEIVED : INVALID_MESSAGE_ID
Reply
  • Hallo Jens,

    danke für die Antwort. Über die Astaro und dort unter IPSec/remotekeys gab es den Eintrag für meinen remoteVPN-Schlüssel (CA Management Remote Keys).
    Mit edit habe ich dort die virtuelle IP eingetragen, die ich mir aus den rippen gesaugt habe. Unter Networks habe ich den Eintrag IPSEC-POOL 10.123.x.x/24 gefunden und mir die 10.123.x.1 gegeben.

    So hat es in der Anleitung gestanden.

    Laut den Logfiles gibt es das Problem nicht beim connecten, sondern irgendie mit dem Schlüssel.

    04.09.2007 13:21:59 NCPIKE-phase1:name(krischeu) - connected

    04.09.2007 13:21:59 XMIT_MSG1_QUICK - krischeu

    04.09.2007 13:21:59 NOTIFY : krischeu : RECEIVED : INVALID_ID_INFORMATION

    04.09.2007 13:22:01 NOTIFY : krischeu : RECEIVED : INVALID_MESSAGE_ID

    04.09.2007 13:22:04 NOTIFY : krischeu : RECEIVED : INVALID_MESSAGE_ID

    04.09.2007 13:22:07 NOTIFY : krischeu : RECEIVED : INVALID_MESSAGE_ID
Children
  • hey im ersten post hörte es sich so an.. als es probleme mit der CA gibt.. ok im zweiten könnte auch was mit der VPN Identifier  nicht stimme... überprüf mal beide sachen
  • Hallo Leute,

    habe einen Fehler gefunden. Ich habe auf der Astaro unter RemoteKeys einen Tipfehler gehabt für die virtuelle IP (optional).
    Habe das dann geändert und dann die Konfiguration wieder exportiert und auf dem PC importiert (um Fehler auszuschließen).

    Es kommt aber noch dergleiche Fehler im Log.

    Die Zertifikate sollten ok sein. Muß ich auf der Firewall etwas einstellen, ausser den Einstellungen, die sowieso schon in der Anleitung stehen?