
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">

</head>

<body bgcolor="#ffffff" text="#333333">

<font size="-1"><font face="Arial">Hi,<br>

<br>

I'm a french people, so, i'll try to write english as well as possible.<br>

<br>

I'd like to configure ipsec with an l2tpd authentication. I already

have a fonctionnal connection<br>

at my work (using the win xp pro sp2 vpn l2tp client).<br>

<br>

The objectif of this installation is to create my vpn server to do some

tests on voip applications.<br>

<br>

So I have a small test platform :<br>

- 1 Linux debian server with openswan + l2tpd + ppp<br>

- 1 Win XP Pro SP2 laptop<br>

- 1 VPN Router (to test vpn net-to-net)<br>

<br>

I've succesfully configured the net-to-net connection. Now I have a

problem with l2tpd.<br>

The authentication doesn't seems to work. The key negociation seems to

work fine, but<br>

the connection doesn't works.<br>

<br>

<b>This is my ipsec.conf :</b><br>

<br>

version 2.0&nbsp;&nbsp;&nbsp;&nbsp; # conforms to second version of ipsec.conf specification<br>

<br>

# basic configuration<br>

config setup<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; interfaces="ipsec0=eth0:0"<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; nat_traversal=yes<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; virtual_private=%v4:!172.16.7.0/16,%v4:192.168.7.0/24<br>

<br>

conn block <br>

&nbsp;&nbsp;&nbsp; auto=ignore<br>

<br>

conn private <br>

&nbsp;&nbsp;&nbsp; auto=ignore<br>

<br>

conn private-or-clear <br>

&nbsp;&nbsp;&nbsp; auto=ignore<br>

<br>

conn clear-or-private <br>

&nbsp;&nbsp;&nbsp; auto=ignore<br>

<br>

conn clear <br>

&nbsp;&nbsp;&nbsp; auto=ignore<br>

<br>

conn packetdefault <br>

&nbsp;&nbsp;&nbsp; auto=ignore<br>

<br>

# Add connections here<br>

#leftnexthop=88.191.35.1<br>

#rightnexthop=192.168.7.7<br>

<br>

conn %default<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; left=88.191.35.181<br>

<br>

conn roadwarriorxp<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; type=transport<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyingtries=1<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; compress=no<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; authby=rsasig<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftrsasigkey=%cert<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightrsasigkey=%cert<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftcert=/data/openswan/etc/ipsec.d/certs/newcert.pem<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftprotoport=17/1701<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; right=%any<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightca=%same<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightprotoport=17/1701<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightsubnet=vhost:%no,%priv<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; pfs=no<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto=add<br>

<br>

<b>This is my l2tpd.conf :</b><br>

<br>

[global]<br>

<br>

[lns default]<br>

ip range = 172.16.7.10-172.16.7.30<br>

local ip = 172.16.7.8<br>

require chap = yes<br>

refuse pap = yes<br>

require authentication = yes<br>

name = TestVPN<br>

ppp debug = yes<br>

pppoptfile = /etc/ppp/options.l2tpd<br>

length bit = yes<br>

<br>

<b>options.l2tpd :</b><br>

<br>

ipcp-accept-local<br>

ipcp-accept-remote<br>

ms-dns 88.191.254.60<br>

auth<br>

crtscts<br>

idle 1800<br>

mtu 1400<br>

mru 1400<br>

nodefaultroute<br>

debug<br>

lock<br>

connect-delay 5000<br>

nologfd<br>

<br>

<b>chap-secrets :</b><br>

<br>

# Secrets for authentication using MS-CHAP<br>

# client&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; server&nbsp; secret&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; IP addresses<br>

integration&nbsp;&nbsp;&nbsp;&nbsp; *&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; "qwerty"&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 172.16.7.10<br>

<br>

And logs on server :<br>

<br>

==&gt; /var/log/auth.log &lt;==<br>

Nov 21 17:42:48 sd-5193 pluto[25394]: packet from 82.236.77.42:500:

ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000004]<br>

Nov 21 17:42:48 sd-5193 pluto[25394]: packet from 82.236.77.42:500:

ignoring Vendor ID payload [FRAGMENTATION]<br>

Nov 21 17:42:48 sd-5193 pluto[25394]: packet from 82.236.77.42:500:

received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]<br>

Nov 21 17:42:48 sd-5193 pluto[25394]: packet from 82.236.77.42:500:

ignoring Vendor ID payload [Vid-Initial-Contact]<br>

Nov 21 17:42:48 sd-5193 pluto[25394]: "roadwarriorxp"[3] 82.236.77.42

#3: responding to Main Mode from unknown peer 82.236.77.42<br>

Nov 21 17:42:48 sd-5193 pluto[25394]: "roadwarriorxp"[3] 82.236.77.42

#3: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: peer

is NATed<br>

Nov 21 17:42:48 sd-5193 pluto[25394]: "roadwarriorxp"[3] 82.236.77.42

#3: Peer ID is ID_DER_ASN1_DN: 'C=FR, ST=HOST, O=Internet Widgits Pty

Ltd, CN=integration'<br>

Nov 21 17:42:48 sd-5193 pluto[25394]: "roadwarriorxp"[4] 82.236.77.42

#3: deleting connection "roadwarriorxp" instance with peer 82.236.77.42

{isakmp=#0/ipsec=#0}<br>

Nov 21 17:42:48 sd-5193 pluto[25394]: "roadwarriorxp"[4] 82.236.77.42

#3: we have a cert and are sending it upon request<br>

Nov 21 17:42:48 sd-5193 pluto[25394]: | NAT-T: new mapping

82.236.77.42:500/11559)<br>

Nov 21 17:42:48 sd-5193 pluto[25394]: "roadwarriorxp"[4]

82.236.77.42:11559 #3: sent MR3, ISAKMP SA established<br>

Nov 21 17:42:48 sd-5193 pluto[25394]: "roadwarriorxp"[4]

82.236.77.42:11559 #4: NAT-Traversal: Transport mode disabled due to

security concerns<br>

Nov 21 17:42:48 sd-5193 pluto[25394]: "roadwarriorxp"[4]

82.236.77.42:11559 #4: sending encrypted notification

BAD_PROPOSAL_SYNTAX to 82.236.77.42:11559<br>

Nov 21 17:42:50 sd-5193 pluto[25394]: "roadwarriorxp"[4]

82.236.77.42:11559 #3: Quick Mode I1 message is unacceptable because it

uses a previously used Message ID 0x1da1d8d7 (perhaps this is a

duplicated packet)<br>

Nov 21 17:42:50 sd-5193 pluto[25394]: "roadwarriorxp"[4]

82.236.77.42:11559 #3: sending encrypted notification

INVALID_MESSAGE_ID to 82.236.77.42:11559<br>

Nov 21 17:42:52 sd-5193 pluto[25394]: "roadwarriorxp"[4]

82.236.77.42:11559 #3: Quick Mode I1 message is unacceptable because it

uses a previously used Message ID 0x1da1d8d7 (perhaps this is a

duplicated packet)<br>

Nov 21 17:42:52 sd-5193 pluto[25394]: "roadwarriorxp"[4]

82.236.77.42:11559 #3: sending encrypted notification

INVALID_MESSAGE_ID to 82.236.77.42:11559<br>

Nov 21 17:42:56 sd-5193 pluto[25394]: "roadwarriorxp"[4]

82.236.77.42:11559 #3: Quick Mode I1 message is unacceptable because it

uses a previously used Message ID 0x1da1d8d7 (perhaps this is a

duplicated packet)<br>

Nov 21 17:42:56 sd-5193 pluto[25394]: "roadwarriorxp"[4]

82.236.77.42:11559 #3: sending encrypted notification

INVALID_MESSAGE_ID to 82.236.77.42:11559<br>

Nov 21 17:43:02 sd-5193 pluto[25394]: "roadwarriorxp"[4]

82.236.77.42:11559 #3: received Delete SA payload: deleting ISAKMP

State #3<br>

Nov 21 17:43:02 sd-5193 pluto[25394]: "roadwarriorxp"[4]

82.236.77.42:11559: deleting connection "roadwarriorxp" instance with

peer 82.236.77.42 {isakmp=#0/ipsec=#0}<br>

<br>

I really need some help please.<br>

<br>

Thanks<br>

<br>

azer.<br>

</font></font>

</body>

</html>