Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 7906 views
  • Users 0 members are here
Options
Suggested

VPN IP Sec - Remote Access

zeus1976
Hallo together,

I configured the ipsec remote access as follows: 

[SIZE="1"]Interface: WAN
Local Network:  LAN (Network) 
Virtual Pool: VPN Pool (IPSec) 
Policy: AES-256
Authentication Type: X509 certificate
Automatique firewall: active[/SIZE]

I tried to connect with several IP SEC Client (Greenbow and NCP) and I get always the same error mgs:

[SIZE="1"]2012:09:08-20:29:30 homesite Pluto[3594]: packet from 77.156.222.155:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2012:09:08-20:29:30 homesite pluto[3594]: packet from 77.156.222.155:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2012:09:08-20:29:30 homesite pluto[3594]: packet from 77.156.222.155:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2012:09:08-20:29:30 homesite pluto[3594]: packet from 77.156.222.155:500: ignoring Vendor ID payload [RFC 3947]
2012:09:08-20:29:30 homesite pluto[3594]: packet from 77.156.222.155:500: received Vendor ID payload [Dead Peer Detection]
2012:09:08-20:29:30 homesite pluto[3594]: packet from 77.156.222.155:500: initial Main Mode message received on 21.12.18.145:500 but no connection has been authorized with policy=PUBKEY[/SIZE]

Do you know this error msg? How can I solve this probleme?

Thank for your help.

Best regards
  • 0
    Hi, did you download the VPN configuration from the Astaro User Portal, and install the certificates into your VPN clients?

    Barry
  • 0 in reply to BarryG
    Hi, did you download the VPN configuration from the Astaro User Portal, and install the certificates into your VPN clients?

    Barry


    Thank you for your answer. I download the client and installed the certificate into the VPN Client. I tried also with the preshare key, without success.

    Best regards
  • 0
    I agree with Barry.  There's something broken in the certificate trust chain.  Maybe you changed the hostname of the ASG after you installed it initially.  Is the VPNId of the certificate selected at the top of the 'Advanced' tab thae same as the current hostname of the ASG?  When you tried with the PSK, did you 'Enable probing of pre-shared keys' on the 'Advanced' tab?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I agree with Barry.  There's something broken in the certificate trust chain.  Maybe you changed the hostname of the ASG after you installed it initially.  Is the VPNId of the certificate selected at the top of the 'Advanced' tab thae same as the current hostname of the ASG?  When you tried with the PSK, did you 'Enable probing of pre-shared keys' on the 'Advanced' tab?

    Cheers - Bob


    Thank you for the answer.

    I didn't change the hostname from the ASG and I didn't tried with the 'Enable probing of pre-shared keys'

    Question:
    - How can I check this?
    [SIZE="1"]Is the VPNId of the certificate selected at the top of the 'Advanced' tab thae same as the current hostname of the ASG? 
    [/SIZE]

    In advanced the follow Certificate is activ: 
    - Local X509 Certificate: Local X509 Cert - is that correct?

    Thank you very much.

    Best regards
  • 0
    - How can I check this?
     Is the VPNId of the certificate selected at the top of the 'Advanced' tab thae same as the current hostname of the ASG?

    Now that you know the name of the certificate, go to 'Remote Access >> Certificate Management', find the certificate and note the hostname.  In 'Management >> System Settings', on the 'Hostname' tab, compare to what you found in the certificate.  They should be the same because you said you haven't changed the host name.

    If the hostname is not an FQDN that resolves in public DNS to the IP of "External (Address)", it won't work.  Is that the issue?

    If you already have L2TP/IPsec configured with a PSK or you have a site-to-site IPsec VPN configured "Respond only" and using a PSK, then you must use the same PSK or 'Enable probing of pre-shared keys'.

    Any luck?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Note: I see in the German thread that you already posted a full log there, so there's no point in redoing that.
    I just read in the thread you have in the German Forum that you confirm that name and DNS resolution are correct.

    That means that we're down to looking at the log.  We need to look at the log file lines for a single connection attempt.  Try this:
    • Disable all selections on the 'Debug' tab.
    • Disable the 'IPsec remote access rule'
    • Start the IPsec Live Log
    • Enable the rule again
    • Attempt to connect

    Replace, for example, 10.11.12.13 with 10.x.y.13, 217.218.219.99 with 217.x.y.99, robert with r*t, your domain with OurDomain, and your Astaro's name with Astaro.  With those things all obfuscated, you can post the file here.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Note: I see in the German thread that you already posted a full log there, so there's no point in redoing that.
    I just read in the thread you have in the German Forum that you confirm that name and DNS resolution are correct.

    That means that we're down to looking at the log.  We need to look at the log file lines for a single connection attempt.  Try this:
    • Disable all selections on the 'Debug' tab.
    • Disable the 'IPsec remote access rule'
    • Start the IPsec Live Log
    • Enable the rule again
    • Attempt to connect

    Replace, for example, 10.11.12.13 with 10.x.y.13, 217.218.219.99 with 217.x.y.99, robert with r*t, your domain with OurDomain, and your Astaro's name with Astaro.  With those things all obfuscated, you can post the file here.

    Cheers - Bob


    Attached you will find the logs - I hope you will find all Information.

    PS: Beschreibung 1: general Information (configuration)
    PS: Beschreibung 2: Logs (rule disabled / rule active)

    Thank you for your help.

    Best regards
    Details.zip
  • 0
    The only thing I can see is that you should try enabling NAT-T.

    I expect that it still won't work, so we should look at the settings in the client.  If they're all OK, then the last thing I can think of before re-installing and starting over with a new configuration would be deleting the user and creating a new one so that we have a new certificate.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    The only thing I can see is that you should try enabling NAT-T.

    I expect that it still won't work, so we should look at the settings in the client.  If they're all OK, then the last thing I can think of before re-installing and starting over with a new configuration would be deleting the user and creating a new one so that we have a new certificate.

    Cheers - Bob


    Thank you for your answer. Unfortuntly it doesn't work with NAT-T. I tried this to but it doesn't work. Have I to upgrade to V9? Would be solve this problem?

    Thank you for your feedback.
  • 0
    ... look at the settings in the client. If they're all OK, then the last thing I can think of before re-installing and starting over with a new configuration would be deleting the user and creating a new one so that we have a new certificate.


    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML