Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Problem !!!

Hallo,
ich möchte mit der ASG220 einen IPSEC-VPN-Tunnel zu einer Cisco Firewall aufbauen.

Ich habe sämtliche Einstellungen probiert erhalte jedoch immer Fehlermeldungen und der Tunnel baut sich nicht auf.
Kann mir jemand helfen?

mfg
nikfe



2008:04:09-11:37:32 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #12: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
2008:04:09-11:37:32 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #12: starting keying attempt 2 of an unlimited number
2008:04:09-11:37:32 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #19: initiating Main Mode
2008:04:09-11:37:32 (none) pluto[487]: "S_VPN to Solnhofer AG_1" #11: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
2008:04:09-11:37:32 (none) pluto[487]: "S_VPN to Solnhofer AG_1" #11: starting keying attempt 2 of an unlimited number
2008:04:09-11:37:32 (none) pluto[487]: "S_VPN to Solnhofer AG_2" #10: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
2008:04:09-11:37:32 (none) pluto[487]: "S_VPN to Solnhofer AG_2" #10: starting keying attempt 2 of an unlimited number
2008:04:09-11:37:32 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #19: ignoring Vendor ID payload [4048b7d56ebce88525e7de7f00d6c2d3c0000000]
2008:04:09-11:37:33 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #19: ignoring Vendor ID payload [Cisco-Unity]
2008:04:09-11:37:33 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #19: ignoring Vendor ID payload [XAUTH]
2008:04:09-11:37:33 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #19: ignoring Vendor ID payload [453cd203ef5b2318f3eb517052ee8f96]
2008:04:09-11:37:33 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #19: ignoring Vendor ID payload [Cisco VPN 3000 Series]
2008:04:09-11:37:34 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #19: received Vendor ID payload [Dead Peer Detection]
2008:04:09-11:37:34 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #19: Peer ID is ID_IPV4_ADDR: '62.154.204.166'
2008:04:09-11:37:34 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #19: ISAKMP SA established
2008:04:09-11:37:34 (none) pluto[487]: "S_VPN to Solnhofer AG_2" #20: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP to replace #10 {using isakmp#19}
2008:04:09-11:37:34 (none) pluto[487]: "S_VPN to Solnhofer AG_1" #21: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP to replace #11 {using isakmp#19}
2008:04:09-11:37:34 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #22: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP {using isakmp#19}
2008:04:09-11:37:34 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #19: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2008:04:09-11:37:34 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #19: received Delete SA payload: deleting ISAKMP State #19
2008:04:09-11:38:44 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #22: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
2008:04:09-11:38:44 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #22: starting keying attempt 2 of an unlimited number
2008:04:09-11:38:44 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #23: initiating Main Mode
2008:04:09-11:38:44 (none) pluto[487]: "S_VPN to Solnhofer AG_1" #21: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
2008:04:09-11:38:44 (none) pluto[487]: "S_VPN to Solnhofer AG_1" #21: starting keying attempt 3 of an unlimited number
2008:04:09-11:38:44 (none) pluto[487]: "S_VPN to Solnhofer AG_2" #20: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
2008:04:09-11:38:44 (none) pluto[487]: "S_VPN to Solnhofer AG_2" #20: starting keying attempt 3 of an unlimited number
2008:04:09-11:38:45 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #23: ignoring Vendor ID payload [4048b7d56ebce88525e7de7f00d6c2d3c0000000]
2008:04:09-11:38:45 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #23: ignoring Vendor ID payload [Cisco-Unity]
2008:04:09-11:38:45 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #23: ignoring Vendor ID payload [XAUTH]
2008:04:09-11:38:45 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #23: ignoring Vendor ID payload [173a9413a41688a32140f588a0c15a1c]
2008:04:09-11:38:45 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #23: ignoring Vendor ID payload [Cisco VPN 3000 Series]
2008:04:09-11:38:46 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #23: received Vendor ID payload [Dead Peer Detection]
2008:04:09-11:38:46 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #23: Peer ID is ID_IPV4_ADDR: '62.154.204.166'
2008:04:09-11:38:46 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #23: ISAKMP SA established
2008:04:09-11:38:46 (none) pluto[487]: "S_VPN to Solnhofer AG_2" #24: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP to replace #20 {using isakmp#23}
2008:04:09-11:38:46 (none) pluto[487]: "S_VPN to Solnhofer AG_1" #25: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP to replace #21 {using isakmp#23}
2008:04:09-11:38:46 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #26: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP {using isakmp#23}
2008:04:09-11:38:46 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #23: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2008:04:09-11:38:46 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #23: received Delete SA payload: deleting ISAKMP State #23
2008:04:09-11:39:56 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #26: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
2008:04:09-11:39:56 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #26: starting keying attempt 2 of an unlimited number
2008:04:09-11:39:56 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #27: initiating Main Mode
2008:04:09-11:39:56 (none) pluto[487]: "S_VPN to Solnhofer AG_1" #25: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
2008:04:09-11:39:56 (none) pluto[487]: "S_VPN to Solnhofer AG_1" #25: starting keying attempt 4 of an unlimited number
2008:04:09-11:39:56 (none) pluto[487]: "S_VPN to Solnhofer AG_2" #24: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
2008:04:09-11:39:56 (none) pluto[487]: "S_VPN to Solnhofer AG_2" #24: starting keying attempt 4 of an unlimited number
2008:04:09-11:39:56 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #27: ignoring Vendor ID payload [4048b7d56ebce88525e7de7f00d6c2d3c0000000]
2008:04:09-11:39:57 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #27: ignoring Vendor ID payload [Cisco-Unity]
2008:04:09-11:39:57 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #27: ignoring Vendor ID payload [XAUTH]
2008:04:09-11:39:57 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #27: ignoring Vendor ID payload [7eee9fd7541cf6c8a8f573a2199a48cc]
2008:04:09-11:39:57 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #27: ignoring Vendor ID payload [Cisco VPN 3000 Series]
2008:04:09-11:39:58 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #27: received Vendor ID payload [Dead Peer Detection]
2008:04:09-11:39:58 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #27: Peer ID is ID_IPV4_ADDR: '62.154.204.166'
2008:04:09-11:39:58 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #27: ISAKMP SA established
2008:04:09-11:39:58 (none) pluto[487]: "S_VPN to Solnhofer AG_2" #28: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP to replace #24 {using isakmp#27}
2008:04:09-11:39:58 (none) pluto[487]: "S_VPN to Solnhofer AG_1" #29: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP to replace #25 {using isakmp#27}
2008:04:09-11:39:58 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #30: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP {using isakmp#27}
2008:04:09-11:39:58 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #27: ignoring informational payload, type NO_PROPOSAL_CHOSEN
2008:04:09-11:39:58 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #27: received Delete SA payload: deleting ISAKMP State #27
2008:04:09-11:41:08 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #30: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
2008:04:09-11:41:08 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #30: starting keying attempt 2 of an unlimited number


This thread was automatically locked due to age.
Parents
  • Noch zur Info:

    Name:
    IKE encryption algorithm:              AES256
    IKE authentication algorithm: SHA
    IKE SA lifetime                          86400
    IKE DH group:                          Group5 MODP 1536
    IPSec encryption algorithm:             AES 256
    IPSec authentication algorithm:        SHA
    IPSec SA lifetime:                         3600
    IPSec PFS group:                         none


    nikfe
  • Hallo,

    hat keiner eine Idee?
    Die Phase I funktioniert ja, aber in der Phase II bricht er ab.

    mfg
    nikfe
Reply Children
  • Hallo nikfe.

    Welche Cisco Firewall hast Du auf der Gegenseite?

    Ich habe eine Site2Site-Verbindung zu einem Concentrator 3030 mit folgenden Einstellungen:

    - Compression off
    - IKE Settings: 3DES MD5 Group 2 MODP 1024, SA Lifetime 3600s
    - IPSec Settings: 3DES MD5 Group 2 MODP 1024, SA Lifetime 28800s 

    No acceptable response to our first Quick Mode message: perhaps peer likes no proposal


    Genau das wird Dein Problem sein.

    Gruß
  • Welche Cisco Firewall hast Du auf der Gegenseite?
     -> 
    2008:04:09-11:39:57 (none) pluto[487]: "S_VPN to Solnhofer AG_0" #27: ignoring Vendor ID payload [Cisco VPN 3000 Series] 
     [;)]

    Kann es eventuell an XAUTH liegen ? Denn das liegt zwischen Phase 1 und 2 und wird von der Gegenstelle gesendet...
  • Hallo,

    auf der Gegenseite ist eine pix 515-e.

    Habe folgende Einstellungen getestet, funktioniert aber leider immer noch nicht.
    - Compression off
    - IKE Settings: 3DES MD5 Group 2 MODP 1024, SA Lifetime 3600s
    - IPSec Settings: 3DES MD5 Group 2 MODP 1024, SA Lifetime 28800s 

    Um was geht es bei dem XAUTH?

    Log:
    2008:04:11-11:01:16 (none) pluto[27116]: "S_VPN to Solnhofer AG_0" #899: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
    2008:04:11-11:01:16 (none) pluto[27116]: "S_VPN to Solnhofer AG_0" #899: starting keying attempt 2 of an unlimited number
    2008:04:11-11:01:16 (none) pluto[27116]: "S_VPN to Solnhofer AG_0" #900: initiating Main Mode
    2008:04:11-11:01:16 (none) pluto[27116]: "S_VPN to Solnhofer AG_1" #898: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
    2008:04:11-11:01:16 (none) pluto[27116]: "S_VPN to Solnhofer AG_1" #898: starting keying attempt 9 of an unlimited number
    2008:04:11-11:01:16 (none) pluto[27116]: "S_VPN to Solnhofer AG_2" #897: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
    2008:04:11-11:01:16 (none) pluto[27116]: "S_VPN to Solnhofer AG_2" #897: starting keying attempt 104 of an unlimited number
    2008:04:11-11:01:16 (none) pluto[27116]: "S_VPN to Solnhofer AG_0" #900: ignoring Vendor ID payload [4048b7d56ebce88525e7de7f00d6c2d3c0000000]
    2008:04:11-11:01:16 (none) pluto[27116]: "S_VPN to Solnhofer AG_0" #900: ignoring Vendor ID payload [Cisco-Unity]
    2008:04:11-11:01:16 (none) pluto[27116]: "S_VPN to Solnhofer AG_0" #900: ignoring Vendor ID payload [XAUTH]
    2008:04:11-11:01:16 (none) pluto[27116]: "S_VPN to Solnhofer AG_0" #900: ignoring Vendor ID payload [c074c6e24836f78a6ae656f7575ace9d]
    2008:04:11-11:01:16 (none) pluto[27116]: "S_VPN to Solnhofer AG_0" #900: ignoring Vendor ID payload [Cisco VPN 3000 Series]
    2008:04:11-11:01:16 (none) pluto[27116]: "S_VPN to Solnhofer AG_0" #900: received Vendor ID payload [Dead Peer Detection]
    2008:04:11-11:01:16 (none) pluto[27116]: "S_VPN to Solnhofer AG_0" #900: Peer ID is ID_IPV4_ADDR: '62.154.204.166'
    2008:04:11-11:01:16 (none) pluto[27116]: "S_VPN to Solnhofer AG_0" #900: ISAKMP SA established
    2008:04:11-11:01:16 (none) pluto[27116]: "S_VPN to Solnhofer AG_2" #901: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP to replace #897 {using isakmp#900}
    2008:04:11-11:01:16 (none) pluto[27116]: "S_VPN to Solnhofer AG_1" #902: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP to replace #898 {using isakmp#900}
    2008:04:11-11:01:16 (none) pluto[27116]: "S_VPN to Solnhofer AG_0" #903: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#900}
    2008:04:11-11:01:16 (none) pluto[27116]: "S_VPN to Solnhofer AG_0" #900: ignoring informational payload, type NO_PROPOSAL_CHOSEN
    2008:04:11-11:01:16 (none) pluto[27116]: "S_VPN to Solnhofer AG_0" #900: received Delete SA payload: deleting ISAKMP State #900 

    mfg
    nikfe
  • Hallo,
    habs jetzt mit den Einstellungen hinbekommen:

    IKE encryption algorithm: AES256
    IKE authentication algorithm: SHA
    IKE SA lifetime 3600
    IKE DH group: Group5 MODP 1536
    IPSec encryption algorithm: AES 256
    IPSec authentication algorithm: SHA
    IPSec SA lifetime: 3600
    IPSec PFS group: Group5 MODP 1536

    Danke an alle für eure Hilfe.

    mfg
    nikfe