Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 37 subscribers
  • Views 21636 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

L2TP over IPsec

sala82
Hi,

habe eine FritzBox 7490 die die Internetverbindung aufbaut.

Dahinter steht die UTM.

Kann ich so keine L2TP over IPsec VPN-Verbindung aufbauen?


This thread was automatically locked due to age.
  • 0
    Anbei mal das Live Log:

    01:20-19:07:22 systemname pluto[5586]: packet from 46.115.25.9:500: received Vendor ID payload [RFC 3947]
    2015:01:20-19:07:22 systemname pluto[5586]: packet from 46.115.25.9:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2015:01:20-19:07:22 systemname pluto[5586]: packet from 46.115.25.9:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2015:01:20-19:07:22 systemname pluto[5586]: packet from 46.115.25.9:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
    2015:01:20-19:07:22 systemname pluto[5586]: packet from 46.115.25.9:500: ignoring Vendor ID payload [FRAGMENTATION 80000000]
    2015:01:20-19:07:22 systemname pluto[5586]: packet from 46.115.25.9:500: received Vendor ID payload [Dead Peer Detection]
    2015:01:20-19:07:22 systemname pluto[5586]: "L_for admin"[3] 46.115.25.9 #2: responding to Main Mode from unknown peer 46.115.25.9
    2015:01:20-19:07:23 systemname pluto[5586]: "L_for admin"[3] 46.115.25.9 #2: NAT-Traversal: Result using RFC 3947: both are NATed
    2015:01:20-19:07:23 systemname pluto[5586]: | NAT-T: new mapping 46.115.25.9:500/4500)
    2015:01:20-19:07:23 systemname pluto[5586]: "L_for admin"[3] 46.115.25.9:4500 #2: Peer ID is ID_IPV4_ADDR: '10.220.9.105'
    2015:01:20-19:07:23 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: deleting connection "L_for admin"[3] instance with peer 46.115.25.9 {isakmp=#0/ipsec=#0}
    2015:01:20-19:07:23 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: Dead Peer Detection (RFC 3706) enabled
    2015:01:20-19:07:23 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: sent MR3, ISAKMP SA established
    2015:01:20-19:07:23 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: ignoring informational payload, type IPSEC_INITIAL_CONTACT
    2015:01:20-19:07:23 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: cannot respond to IPsec SA request because no connection is known for 84.169.171.25/32===192.168.178.32:4500[192.168.178.32]:17/1701...46.115.25.9:4500[10.220.9.105]:17/%any==={10.220.9.105/32}
    2015:01:20-19:07:23 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: sending encrypted notification INVALID_ID_INFORMATION to 46.115.25.9:4500
    2015:01:20-19:07:27 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x883f6cac (perhaps this is a duplicated packet)
    2015:01:20-19:07:27 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: sending encrypted notification INVALID_MESSAGE_ID to 46.115.25.9:4500
    2015:01:20-19:07:30 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x883f6cac (perhaps this is a duplicated packet)
    2015:01:20-19:07:30 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: sending encrypted notification INVALID_MESSAGE_ID to 46.115.25.9:4500
    2015:01:20-19:07:33 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x883f6cac (perhaps this is a duplicated packet)
    2015:01:20-19:07:33 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: sending encrypted notification INVALID_MESSAGE_ID to 46.115.25.9:4500
    2015:01:20-19:07:36 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x883f6cac (perhaps this is a duplicated packet)
    2015:01:20-19:07:36 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: sending encrypted notification INVALID_MESSAGE_ID to 46.115.25.9:4500
    2015:01:20-19:07:39 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x883f6cac (perhaps this is a duplicated packet)
    2015:01:20-19:07:39 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: sending encrypted notification INVALID_MESSAGE_ID to 46.115.25.9:4500
    2015:01:20-19:07:42 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x883f6cac (perhaps this is a duplicated packet)
    2015:01:20-19:07:42 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: sending encrypted notification INVALID_MESSAGE_ID to 46.115.25.9:4500
    2015:01:20-19:07:44 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x883f6cac (perhaps this is a duplicated packet)
    2015:01:20-19:07:44 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: sending encrypted notification INVALID_MESSAGE_ID to 46.115.25.9:4500
    2015:01:20-19:07:48 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x883f6cac (perhaps this is a duplicated packet)
    2015:01:20-19:07:48 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: sending encrypted notification INVALID_MESSAGE_ID to 46.115.25.9:4500
    2015:01:20-19:07:51 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x883f6cac (perhaps this is a duplicated packet)
    2015:01:20-19:07:51 systemname pluto[5586]: "L_for admin"[4] 46.115.25.9:4500 #2: sending encrypted notification INVALID_MESSAGE_ID to 46.115.25.9:4500
  • 0
    Der Windows VPN-Client gibt mit den Fehler 789 zurück
  • 0
    Keine da der mir helfen kann?
  • 0
    (Sorry, my German-speaking brain won't create thoughts at the moment. [:(])

    INVALID_ID_INFORMATION means that you must either use a different L2TP/IPsec client that expects IPsec responses from the private IP on your UTM'S External interface, or you must bridge the Fritzbox so that the UTM can have your public IP on its External interface.

    I prefer the SSL VPN.  It works great with my iPhone (free OpenVPN app in the AppStore) and on PCs with the Sophos SSL VPN Client that's easily installed from the UTM.  I know that some European ISPs block some UDP, but I prefer to change the SSL VPN Protocol to UDP to speed up the connection and to avoid conflict with other uses of TCP 443.

    MfG - Bob (Bitte auf Deutsch weiterhin.)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Ok, wie kann ich die FritzBox bridgen? Glaube das geht gar nicht mehr [:(]

    SSL VPN ist keine Option, da ich nicht auf allen Clients mit denen ich mich Einwähle, den Client installieren will und kann.
  • 0
    Nichts neues?

    Hat es denn hier jemand hingekommen mit einer FritzBox die an einer UTM hängt eine IPSec VPN-Verbindung zu verbinden?
  • 0
    Niemand da, der mir helfen kann?
  • 0 in reply to sala82
    Moin,
    also ich habe das selbe Problem!
    ich habe etwas recherchiert und es scheint so als ob die Sophos L2tp-Verbindungen nicht hinter NAT funktionieren. Damit musst du die Sophos zum einwählen benutzen oder halt wie geschrieben die UTM muss die Externe IP am Interface haben!

    Hatte das gleiche Problem mal bei einem Windows L2TP Server da musste man in der Registry einen Wert ändern damit der Server und nicht nur der Client hinter NAT sein darf. Leider weiß ich nicht was für ein L2TP deamon von Sophos benutzt wird, sonst könnte man mal via Chell gucken was man da einstellen kann.

    Also Tipp:
    der Cisco Server Funktioniert hinter NAT! so läuft mein Handy auch ohne OpenVPN Client.

    Falls jemand noch ne Idee hat immer her damit denn ich will L2TP auch meinen Clients bieten können!

    Gruß
  • 0
    (Sorry, my German-speaking brain still refuses to create thoughts. [:(])

    wawa123, that's exactly what I was getting at in my post above.  It sounds like you have a paid subscription, you could contact Sophos Support and ask them to do some command-line magic.  Ask them to edit your ipsec.conf-default to insert the leftid setting and edit ipsec.secrets-default accordingly.  I don't know if first-level support can do that for you.  I suspect that the change will survive until the whole IPsec Pluto module is upgraded to the new Charon daemon.

    Also, you might want to give some votes to Coewar's feature suggestion made three years ago.

    MfG - Bob (Bitte auf Deutsch weiterhin.)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML