Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Remote ipsec Verbindung

Hallo Spezialisten! [:)] Ich bin leider ein absoluter Anfänger was VPN angeht. Zu mindestens habe ich übers interne Netzwerk  (XP-astaroClient) eine ipsec-Remote Verbindung zum internen Netz der astaro 220 hinbekommen. Versuche ich nun über einen dyndns-Zugang das gleiche, wird mit einem IKE-Fehler (Phase1) abgebrochen.
Das Log zeigt folgenden Dialog:[:S]

2008:03:27-08:02:04 (none) ipsec_starter[8878]: old index 3, new index 3, if=eth1
2008:03:27-08:02:04 (none) pluto[13377]: "D_REF_SYZWiaziRK_0": deleting connection
2008:03:27-08:02:04 (none) pluto[13377]:   loaded host cert file '/etc/ipsec.d/hostcerts/x509cert.pem' (3887 bytes)
2008:03:27-08:02:04 (none) pluto[13377]:   loaded host cert file '/etc/ipsec.d/hostcerts/REF_kNgQWyCnHk_9102a780.pem' (3887 bytes)
2008:03:27-08:02:04 (none) pluto[13377]: added connection description "D_REF_SYZWiaziRK_0"
2008:03:27-08:02:04 (none) pluto[13377]: forgetting secrets
2008:03:27-08:02:04 (none) pluto[13377]: loading secrets from "/etc/ipsec.secrets"
2008:03:27-08:02:04 (none) pluto[13377]:   loaded private key file '/etc/ipsec.d/private/REF_BmZgeRHtYo.pem' (887 bytes)
2008:03:27-08:02:04 (none) pluto[13377]: Changing to directory '/etc/ipsec.d/cacerts'
2008:03:27-08:02:04 (none) pluto[13377]:   loaded CA cert file 'REF_BhMfrpxyEq.pem' (3176 bytes)
2008:03:27-08:02:04 (none) pluto[13377]: Changing to directory '/etc/ipsec.d/aacerts'
2008:03:27-08:02:04 (none) pluto[13377]: Changing to directory '/etc/ipsec.d/ocspcerts'
2008:03:27-08:02:04 (none) pluto[13377]: Changing to directory '/etc/ipsec.d/crls'
2008:03:27-08:02:08 (none) pluto[13377]: packet from 77.181.53.152:500: ignoring Vendor ID payload [da8e937880010000]
2008:03:27-08:02:08 (none) pluto[13377]: packet from 77.181.53.152:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2008:03:27-08:02:08 (none) pluto[13377]: packet from 77.181.53.152:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2008:03:27-08:02:08 (none) pluto[13377]: packet from 77.181.53.152:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2008:03:27-08:02:08 (none) pluto[13377]: packet from 77.181.53.152:500: received Vendor ID payload [RFC 3947]
2008:03:27-08:02:08 (none) pluto[13377]: packet from 77.181.53.152:500: received Vendor ID payload [Dead Peer Detection]
2008:03:27-08:02:08 (none) pluto[13377]: packet from 77.181.53.152:500: ignoring Vendor ID payload [101fb0b35c5a4f4c08b919f1cf53c96a]
2008:03:27-08:02:08 (none) pluto[13377]: packet from 77.181.53.152:500: ignoring Vendor ID payload [c61baca1f1a60cc10800000000000000]
2008:03:27-08:02:08 (none) pluto[13377]: packet from 77.181.53.152:500: ignoring Vendor ID payload [4048b7d56ebce88525e7de7f00d6c2d3c0000000]
2008:03:27-08:02:08 (none) pluto[13377]: "D_REF_SYZWiaziRK_0"[1] 77.181.53.152 #21: responding to Main Mode from unknown peer 77.181.53.152
2008:03:27-08:02:08 (none) pluto[13377]: "D_REF_SYZWiaziRK_0"[1] 77.181.53.152 #21: NAT-Traversal: Result using RFC 3947: both are NATed
2008:03:27-08:02:08 (none) pluto[13377]: "D_REF_SYZWiaziRK_0"[1] 77.181.53.152 #21: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2008:03:27-08:02:08 (none) pluto[13377]: "D_REF_SYZWiaziRK_0"[1] 77.181.53.152 #21: Peer ID is ID_USER_FQDN: 'joerg.huegemeier@online.de'
2008:03:27-08:02:08 (none) pluto[13377]: "D_REF_SYZWiaziRK_0"[1] 77.181.53.152 #21: crl not found
2008:03:27-08:02:08 (none) pluto[13377]: "D_REF_SYZWiaziRK_0"[1] 77.181.53.152 #21: certificate status unknown
2008:03:27-08:02:08 (none) pluto[13377]: "D_REF_SYZWiaziRK_0"[1] 77.181.53.152 #21: we have a cert and are sending it 
2008:03:27-08:02:08 (none) pluto[13377]: | NAT-T: new mapping 77.181.53.152:500/4500)
2008:03:27-08:02:08 (none) pluto[13377]: "D_REF_SYZWiaziRK_0"[1] 77.181.53.152:4500 #21: sent MR3, ISAKMP SA established
2008:03:27-08:02:09 (none) pluto[13377]: "D_REF_SYZWiaziRK_0"[1] 77.181.53.152:4500 #21: cannot respond to IPsec SA request because no connection is known for 192.168.0.1/32===192.168.115.11:4500[joerg.huegemeier@online.de]...77.181.53.152:4500[joerg.huegemeier@online.de]===192.168.1.7/32
2008:03:27-08:02:09 (none) pluto[13377]: "D_REF_SYZWiaziRK_0"[1] 77.181.53.152:4500 #21: sending encrypted notification INVALID_ID_INFORMATION to 77.181.53.152:4500
2008:03:27-08:02:13 (none) pluto[13377]: "D_REF_SYZWiaziRK_0"[1] 77.181.53.152:4500 #21: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xc1b93f77 (perhaps this is a duplicated packet)
2008:03:27-08:02:13 (none) pluto[13377]: "D_REF_SYZWiaziRK_0"[1] 77.181.53.152:4500 #21: sending encrypted notification INVALID_MESSAGE_ID to 77.181.53.152:4500
2008:03:27-08:02:16 (none) pluto[13377]: "D_REF_SYZWiaziRK_0"[1] 77.181.53.152:4500 #21: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xc1b93f77 (perhaps this is a duplicated packet)
2008:03:27-08:02:16 (none) pluto[13377]: "D_REF_SYZWiaziRK_0"[1] 77.181.53.152:4500 #21: sending encrypted notification INVALID_MESSAGE_ID to 77.181.53.152:4500
2008:03:27-08:02:19 (none) pluto[13377]: "D_REF_SYZWiaziRK_0"[1] 77.181.53.152:4500 #21: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xc1b93f77 (perhaps this is a duplicated packet)
2008:03:27-08:02:19 (none) pluto[13377]: "D_REF_SYZWiaziRK_0"[1] 77.181.53.152:4500 #21: sending encrypted notification INVALID_MESSAGE_ID to 77.181.53.152:4500
2008:03:27-08:02:22 (none) pluto[13377]: "D_REF_SYZWiaziRK_0"[1] 77.181.53.152:4500 #21: received Delete SA payload: deleting ISAKMP State #21
2008:03:27-08:02:22 (none) pluto[13377]: "D_REF_SYZWiaziRK_0"[1] 77.181.53.152:4500: deleting connection "D_REF_SYZWiaziRK_0" instance with peer 77.181.53.152 {isakmp=#0/ipsec=#0}

Kann jemand weiterhelfen? Ich muß das für einen Kundenzugang zu unsren Servern sehr schnell hinbekommen! Da auch noch einige Kunden Linux benutzen, wäre ich auch für einen Tip dankbar, wie es mit KVPNC und der astaro 220 läuft!!![:O]


This thread was automatically locked due to age.
Parents
  • Ich hab dieselben Probleme [:)]

    Das Probelm liegt hier:
    cannot respond to IPsec SA request because no connection is known for 192.168.0.1/32===192.168.115.11:4500[joerg.huegemeier@online.de].


    Wobei ich nicht einsehe was das Problem ist. Aber wir sind nicht die einzigen hier im Forum. Am 30.1 hat jemand ein ähnliches Problem berichtet, der eine Supportanfrage an Astaro machte. Ob das noch aktuell ist weiss ich natürlich nicht.
Reply
  • Ich hab dieselben Probleme [:)]

    Das Probelm liegt hier:
    cannot respond to IPsec SA request because no connection is known for 192.168.0.1/32===192.168.115.11:4500[joerg.huegemeier@online.de].


    Wobei ich nicht einsehe was das Problem ist. Aber wir sind nicht die einzigen hier im Forum. Am 30.1 hat jemand ein ähnliches Problem berichtet, der eine Supportanfrage an Astaro machte. Ob das noch aktuell ist weiss ich natürlich nicht.
Children
No Data