Site-to-Site VPN to Windows Azure

I've confirmed that the exact number of characters has been entered (50).

It might be the password, but we'd need to look at all of the log lines from one failed connection attempt. 

Cheers - Bob

Sorry for any short responses!  Posted from my iPhone.

Hi,

I'm having the same issue that was posted initially:

2012:07:13-17:32:42 asg-mtl pluto[24404]: packet from 168.62.36.83:1032: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008]
2012:07:13-17:32:42 asg-mtl pluto[24404]: packet from 168.62.36.83:1032: ignoring Vendor ID payload [RFC 3947]
2012:07:13-17:32:42 asg-mtl pluto[24404]: packet from 168.62.36.83:1032: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2012:07:13-17:32:42 asg-mtl pluto[24404]: packet from 168.62.36.83:1032: ignoring Vendor ID payload [FRAGMENTATION]
2012:07:13-17:32:42 asg-mtl pluto[24404]: packet from 168.62.36.83:1032: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]
2012:07:13-17:32:42 asg-mtl pluto[24404]: packet from 168.62.36.83:1032: ignoring Vendor ID payload [Vid-Initial-Contact]
2012:07:13-17:32:42 asg-mtl pluto[24404]: packet from 168.62.36.83:1032: ignoring Vendor ID payload [IKE CGA version 1]
2012:07:13-17:32:42 asg-mtl pluto[24404]: packet from 168.62.36.83:1032: initial Main Mode message received on xx.xx.xx.xx:500 but no connection has been authorized with policy=PSK
2012:07:13-17:32:43 asg-mtl pluto[24404]: packet from 72.21.209.225:500: received Vendor ID payload [Dead Peer Detection]

Any ideas?

IKE encryption: AES 128
IKE authentication:SHA1
IKE SA: 28800
IKE DH: Group 2: MODP 1024

IPSec encryption: AES 128
IPSec authentication:SHA1
IPSec SA: 3600
IPSec PFS: Group 2: MODP 1024

I've opened a support request with Astaro.  I'll post back once I get more information.  I was hoping to find out if anyone else had been successful.

Hi, Astaro support was able to get things up and running for me.  The trick is to use a respond only gateway to azure and the policies need to match the following:

Gateway:
Gateway type: response only


IKE encryption: AES 128
 IKE authentication:SHA1
 IKE SA: 28800
 IKE DH: Group 2: MODP 1024
 
IPSec encryption: AES 128
 IPSec authentication:SHA1
 IPSec SA: 28800
 IPSec PFS: None

You will also need to enable probing of preshared keys on the advanced tab.

Hopefully this helps someone else.

Super, Corehealth!  Thanks for taking the time to document the solution you found!

Cheers - Bob

hello, i just made the settings you told above.

the tunnel is working, i can ping the server in the azure cloud with its internal ip.

but in the ipsec log i have now these log entries all the time.

2012:08:08-08:12:08 asg-2 pluto[18075]: packet from 188.21.192.134:500: received Vendor ID payload [RFC 3947]
2012:08:08-08:12:08 asg-2 pluto[18075]: packet from 188.21.192.134:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2012:08:08-08:12:08 asg-2 pluto[18075]: packet from 188.21.192.134:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2012:08:08-08:12:08 asg-2 pluto[18075]: packet from 188.21.192.134:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2012:08:08-08:12:08 asg-2 pluto[18075]: packet from 188.21.192.134:500: ignoring Vendor ID payload [16f6ca16e4a4066d83821a0f0aeaa862]
2012:08:08-08:12:08 asg-2 pluto[18075]: packet from 188.21.192.134:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2012:08:08-08:12:08 asg-2 pluto[18075]: packet from 188.21.192.134:500: received Vendor ID payload [Dead Peer Detection]
2012:08:08-08:12:08 asg-2 pluto[18075]: "S_Tunnel_Azure"[20726] 188.21.192.134 #24163: responding to Main Mode from unknown peer 188.21.192.134
2012:08:08-08:12:08 asg-2 pluto[18075]: "S_Tunnel_Azure"[20726] 188.21.192.134 #24163: Oakley Transform [DES_CBC (64), HMAC_MD5, MODP_768] refused due to insecure key_len and enc. alg. not listed in "ike" string
2012:08:08-08:12:08 asg-2 pluto[18075]: "S_Tunnel_Azure"[20726] 188.21.192.134 #24163: no acceptable Oakley Transform
2012:08:08-08:12:08 asg-2 pluto[18075]: "S_Tunnel_Azure"[20726] 188.21.192.134 #24163: sending notification NO_PROPOSAL_CHOSEN to 188.21.192.134:500


2012:08:08-08:12:08 asg-2 pluto[18075]: "S_Tunnel_Azure"[20726] 188.21.192.134: deleting connection "S_Tunnel_Azure"[20726] instance with peer 188.21.192.134 {isakmp=#0/ipsec=#0}


i have attached the screenshots of the config.

any ideas?


kind regards,

sebastian

Have you selected 'Enable probing of preshared keys' at the bottom of the 'Advanced' tab in 'IPsec'?

Cheers - Bob

I have tried also to create a IPSEC Connection between Azure and my Firewall, i use the settings from corehealth - but i have got the following errors...

2013:02:24-19:21:49 FW pluto[14323]: loading secrets from "/etc/ipsec.secrets" 

2013:02:24-19:21:49 FW pluto[14323]: loaded PSK secret for 176.9.87.*** %any 

2013:02:24-19:21:49 FW pluto[14323]: added connection description "S_toAZURE" 

2013:02:24-19:21:49 FW pluto[14323]: packet from 168.63.73.***:500: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008] 

2013:02:24-19:21:49 FW pluto[14323]: packet from 168.63.73.***:500: received Vendor ID payload [RFC 3947] 

2013:02:24-19:21:49 FW pluto[14323]: packet from 168.63.73.***:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] 

2013:02:24-19:21:49 FW pluto[14323]: packet from 168.63.73.***:500: ignoring Vendor ID payload [FRAGMENTATION] 

2013:02:24-19:21:49 FW pluto[14323]: packet from 168.63.73.***:500: ignoring Vendor ID payload [MS-Negotiation Discovery Capable] 

2013:02:24-19:21:49 FW pluto[14323]: packet from 168.63.73.***:500: ignoring Vendor ID payload [Vid-Initial-Contact] 

2013:02:24-19:21:49 FW pluto[14323]: packet from 168.63.73.***:500: ignoring Vendor ID payload [IKE CGA version 1] 

2013:02:24-19:21:49 FW pluto[14323]: "S_toAZURE"[1] 168.63.73.*** #1: responding to Main Mode from unknown peer 168.63.73.*** 

2013:02:24-19:21:49 FW pluto[14323]: "S_toAZURE"[1] 168.63.73.*** #1: NAT-Traversal: Result using RFC 3947: no NAT detected 

2013:02:24-19:21:49 FW pluto[14323]: "S_toAZURE"[1] 168.63.73.*** #1: Peer ID is ID_IPV4_ADDR: '168.63.73.***' 

2013:02:24-19:21:49 FW pluto[14323]: "S_toAZURE"[1] 168.63.73.*** #1: sent MR3, ISAKMP SA established 

2013:02:24-19:21:50 FW pluto[14323]: "S_toAZURE"[1] 168.63.73.*** #1: cannot respond to IPsec SA request because no connection is known for 172.30.30.0/24===176.9.87.***[176.9.87.***]...168.63.73.***[168.63.73.***]===172.21.0.0/16 

2013:02:24-19:21:50 FW pluto[14323]: "S_toAZURE"[1] 168.63.73.*** #1: sending encrypted notification INVALID_ID_INFORMATION to 168.63.73.***:500 

2013:02:24-19:21:50 FW pluto[14323]: "S_toAZURE"[1] 168.63.73.*** #1: cannot respond to IPsec SA request because no connection is known for 172.30.30.0/24===176.9.87.***[176.9.87.***]...168.63.73.***[168.63.73.***]===192.168.168.0/24 

2013:02:24-19:21:50 FW pluto[14323]: "S_toAZURE"[1] 168.63.73.*** #1: sending encrypted notification INVALID_ID_INFORMATION to 168.63.73.***:500 

2013:02:24-19:21:51 FW pluto[14323]: "S_toAZURE"[1] 168.63.73.*** #1: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet) 

2013:02:24-19:21:51 FW pluto[14323]: "S_toAZURE"[1] 168.63.73.*** #1: sending encrypted notification INVALID_MESSAGE_ID to 168.63.73.***:500 

2013:02:24-19:21:51 FW pluto[14323]: "S_toAZURE"[1] 168.63.73.*** #1: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x02000000 (perhaps this is a duplicated packet) 

Any idea?

Regards
Armin

Hi, Armin, and welcome to the User BB!

Please [Go Advanced] below and attach a picture of the Remote Gateway definition.

Cheers - Bob