<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:p="urn:schemas-microsoft-com:office:powerpoint" xmlns:a="urn:schemas-microsoft-com:office:access" xmlns:dt="uuid:C2F41010-65B3-11d1-A29F-00AA00C14882" xmlns:s="uuid:BDC6E3F0-6DA3-11d1-A2A3-00AA00C14882" xmlns:rs="urn:schemas-microsoft-com:rowset" xmlns:z="#RowsetSchema" xmlns:b="urn:schemas-microsoft-com:office:publisher" xmlns:ss="urn:schemas-microsoft-com:office:spreadsheet" xmlns:c="urn:schemas-microsoft-com:office:component:spreadsheet" xmlns:oa="urn:schemas-microsoft-com:office:activation" xmlns:html="http://www.w3.org/TR/REC-html40" xmlns:q="http://schemas.xmlsoap.org/soap/envelope/" xmlns:D="DAV:" xmlns:x2="http://schemas.microsoft.com/office/excel/2003/xml" xmlns:ois="http://schemas.microsoft.com/sharepoint/soap/ois/" xmlns:dir="http://schemas.microsoft.com/sharepoint/soap/directory/" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:dsp="http://schemas.microsoft.com/sharepoint/dsp" xmlns:udc="http://schemas.microsoft.com/data/udc" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:sub="http://schemas.microsoft.com/sharepoint/soap/2002/1/alerts/" xmlns:ec="http://www.w3.org/2001/04/xmlenc#" xmlns:sp="http://schemas.microsoft.com/sharepoint/" xmlns:sps="http://schemas.microsoft.com/sharepoint/soap/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:udcxf="http://schemas.microsoft.com/data/udc/xmlfile" xmlns:wf="http://schemas.microsoft.com/sharepoint/soap/workflow/" xmlns:mver="http://schemas.openxmlformats.org/markup-compatibility/2006" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns:mrels="http://schemas.openxmlformats.org/package/2006/relationships" xmlns:ex12t="http://schemas.microsoft.com/exchange/services/2006/types" xmlns:ex12m="http://schemas.microsoft.com/exchange/services/2006/messages" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<!--[if !mso]>
<style>
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style>
<![endif]-->
<title>RE: [Openswan Users] Getting there....</title>
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
span.EmailStyle18
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.Section1
        {page:Section1;}
-->
</style>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]-->
</head>

<body lang=EN-US link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>OK, thanks.&nbsp; Here it is&#8230;&#8230;<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<div>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'>

<p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span
style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Peter McGill
[mailto:petermcgill@goco.net] <br>
<b>Sent:</b> Monday, March 17, 2008 11:50 AM<br>
<b>To:</b> Chris Thomas; users@openswan.org<br>
<b>Subject:</b> RE: [Openswan Users] Getting there....<o:p></o:p></span></p>

</div>

</div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>I suggest doing a new ipsec barf, and see if someone else can
figure out</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>the problem, maybe Paul or one of the developers can see what I'm
not.</span><o:p></o:p></p>

<div>

<p class=MsoNormal>&nbsp;<o:p></o:p></p>

</div>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Peter
McGill</span><o:p></o:p></p>

<div>

<p class=MsoNormal>&nbsp;<o:p></o:p></p>

</div>

<blockquote style='border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt;
margin-left:3.75pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt'>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<div class=MsoNormal align=center style='text-align:center'>

<hr size=2 width="100%" align=center>

</div>

<p class=MsoNormal style='margin-bottom:12.0pt'><b><span style='font-size:10.0pt;
font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;
font-family:"Tahoma","sans-serif"'> Chris Thomas
[mailto:cthomas@harkinsbuilders.com] <br>
<b>Sent:</b> March 17, 2008 11:44 AM<br>
<b>To:</b> petermcgill@goco.net; users@openswan.org<br>
<b>Subject:</b> RE: [Openswan Users] Getting there....</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>Wow, talk about going above and beyond.&nbsp; I really
appreciate you taking the time to put together those step by step directions
for me.&nbsp; The install seemed to go fine and when I run IPSEC verify, it
shows that I am now on U2.4.11/K2.6.22-14-server.&nbsp; Unfortunately, my logs
are still showing the same errors as before.<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>One thing I thought of was that, when I started this project a
month or so ago, I had a Linksys WRVS4400N at the remote site, same as I do
now, and a Linksys WRV54G VPN router at the HQ side.&nbsp; I was using all the
same IPs that I am now and I was able to create the tunnel no problem.&nbsp; I
decided to do away with the WRV54G because it wouldn&#8217;t keep the tunnel up
for more than an hour or so and also I knew it would not handle the throughput
of the 20 or 30 sites I would eventually (hopefully) have up on the VPN.&nbsp;
If I am correct, this means that the IP configuration of all devices involved
should be OK.&nbsp; As you said though, it seems that the packets never get
back to the Linksys.&nbsp; This is very strange.<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>Thanks again for your help.<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'>-Chris<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";
color:#1F497D'><o:p>&nbsp;</o:p></span></p>

<div>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'>

<p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span
style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Peter McGill
[mailto:petermcgill@goco.net] <br>
<b>Sent:</b> Monday, March 17, 2008 10:55 AM<br>
<b>To:</b> Chris Thomas; users@openswan.org<br>
<b>Subject:</b> RE: [Openswan Users] Getting there....<o:p></o:p></span></p>

</div>

</div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>It's often the case that distribution package maintainers do not
keep</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>up with the source package maintainers releases. This is generally</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>not a problem unless you need a newer bugfix or feature.</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>If you want to keep up yourself, you'll need to manage that package</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>locally yourself, either creating a local updated distribution
package</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>or simply installing directly from the source package.</span><o:p></o:p></p>

<p class=MsoNormal>&nbsp;<o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>It's simpler to install direct from the source package, however
this</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>is done separate from your distributions package management system</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>and so the package will not be tracked, upgraded or anything with</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>your package management system (apt).</span><o:p></o:p></p>

<p class=MsoNormal>&nbsp;<o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>First download the compiler, build tools, etc... needed to build
the package...</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>sudo apt-get build-dep openswan</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>Second download the openswan source...</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>wget -nH -nd -N <a
href="http://openswan.org/download/openswan-2.4.11.tar.gz">http://openswan.org/download/openswan-2.4.11.tar.gz</a></span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>Third extract the source...</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>tar -xvzf openswan-2.4.11.tar.gz</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>cd openswan-2.4.11</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>Fourth compile the program...</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>make programs</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>Fifth install the program (Note you should uninstall your old copy
using apt first.)</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>sudo make install</span><o:p></o:p></p>

<p class=MsoNormal>&nbsp;<o:p></o:p></p>

<p class=MsoNormal>&nbsp;<o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'>The following howto further explains the basics of installing
source packages.</span><o:p></o:p></p>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:blue'><a
href="http://www.linux.org/docs/ldp/howto/Software-Building-HOWTO.html">http://www.linux.org/docs/ldp/howto/Software-Building-HOWTO.html</a></span><o:p></o:p></p>

<p class=MsoNormal>&nbsp;<o:p></o:p></p>

<div>

<p class=MsoNormal>&nbsp;<o:p></o:p></p>

</div>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Peter
McGill</span><o:p></o:p></p>

<div>

<p class=MsoNormal>&nbsp;<o:p></o:p></p>

</div>

<blockquote style='border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt;
margin-left:3.75pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt'>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<div class=MsoNormal align=center style='text-align:center'>

<hr size=2 width="100%" align=center>

</div>

<p class=MsoNormal style='margin-bottom:12.0pt'><b><span style='font-size:10.0pt;
font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;
font-family:"Tahoma","sans-serif"'> Chris Thomas
[mailto:cthomas@harkinsbuilders.com] <br>
<b>Sent:</b> March 16, 2008 4:09 PM<br>
<b>To:</b> petermcgill@goco.net; users@openswan.org<br>
<b>Subject:</b> RE: [Openswan Users] Getting there....</span><o:p></o:p></p>

<div id=idOWAReplyText46315>

<div>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif";
color:black'>I don't want to sound like a completely clueless noob, but I've
only ever installed/updated stuff in Linux with apt.&nbsp; It appears that I am
running OpenSwan 1:2.4.6+dfsg.2-1.1build2 but when I attempt to update/upgrade,
I am told that there is nothing to update.&nbsp; I have the universe and
multiverse repositories enabled but I'm guessing they don't contain the most up
to date version of OpenSwan.&nbsp; Does anyone know a repository I could add to
get it to work, or an alternative way to update my OpenSwan install?</span><o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>&nbsp;<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>Thanks</span><o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><span style='font-size:10.0pt;font-family:"Arial","sans-serif"'>-Chris</span><o:p></o:p></p>

</div>

</div>

<div>

<p class=MsoNormal><o:p>&nbsp;</o:p></p>

<div class=MsoNormal align=center style='text-align:center'>

<hr size=2 width="100%" align=center>

</div>

<p class=MsoNormal style='margin-bottom:12.0pt'><b><span style='font-size:10.0pt;
font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;
font-family:"Tahoma","sans-serif"'> Peter McGill [mailto:petermcgill@goco.net]<br>
<b>Sent:</b> Fri 3/14/2008 5:00 PM<br>
<b>To:</b> Chris Thomas; users@openswan.org<br>
<b>Subject:</b> RE: [Openswan Users] Getting there....</span><o:p></o:p></p>

</div>

<div>

<p style='margin-bottom:12.0pt'><span style='font-size:10.0pt'>It seems like
your packets never get from Ubuntu back to<br>
linksys. Try upgrading to the latest stable version,<br>
2.4.11 I believe at <a href="http://openswan.org/code/">http://openswan.org/code/</a><br>
<br>
And since it didn't help, I suggest removing the leftnexthop line.<br>
<br>
Peter McGill<br>
<br>
<br>
&gt; -----Original Message-----<br>
&gt; From: Chris Thomas [<a href="mailto:cthomas@harkinsbuilders.com">mailto:cthomas@harkinsbuilders.com</a>]<br>
&gt; Sent: March 14, 2008 4:28 PM<br>
&gt; To: petermcgill@goco.net; users@openswan.org<br>
&gt; Subject: RE: [Openswan Users] Getting there....<br>
&gt;<br>
&gt; Dang.&nbsp; I made the change, restarted the server and tried to<br>
&gt; establish the tunnel from the Linksys device again.&nbsp; I got<br>
&gt; this in my logs, which appears to be the same as before:<br>
&gt;<br>
&gt; Mar 14 16:19:13 gatekeeper pluto[4146]: packet from<br>
&gt; 66.225.x.x:500: ignoring unknown Vendor ID payload<br>
&gt; [4f4540454371496d7a684644]<br>
&gt; Mar 14 16:19:13 gatekeeper pluto[4146]: packet from<br>
&gt; 66.225.x.x:500: received Vendor ID payload [Dead Peer Detection]<br>
&gt; Mar 14 16:19:13 gatekeeper pluto[4146]: packet from<br>
&gt; 66.225.x.x:500: received Vendor ID payload [RFC 3947]<br>
&gt; meth=110, but port floating is off<br>
&gt; Mar 14 16:19:13 gatekeeper pluto[4146]: packet from<br>
&gt; 66.225.x.x:500: received Vendor ID payload<br>
&gt; [draft-ietf-ipsec-nat-t-ike-03] meth=108, but port floating is off<br>
&gt; Mar 14 16:19:13 gatekeeper pluto[4146]: packet from<br>
&gt; 66.225.x.x:500: received Vendor ID payload<br>
&gt; [draft-ietf-ipsec-nat-t-ike-02] meth=107, but port floating is off<br>
&gt; Mar 14 16:19:13 gatekeeper pluto[4146]: packet from<br>
&gt; 66.225.x.x:500: ignoring Vendor ID payload<br>
&gt; [draft-ietf-ipsec-nat-t-ike-00]<br>
&gt; Mar 14 16:19:13 gatekeeper pluto[4146]: &quot;pax_square&quot;[1]<br>
&gt; 66.225.x.x #1: responding to Main Mode from unknown peer 66.225.x.x<br>
&gt; Mar 14 16:19:13 gatekeeper pluto[4146]: &quot;pax_square&quot;[1]<br>
&gt; 66.225.x.x #1: transition from state STATE_MAIN_R0 to state<br>
&gt; STATE_MAIN_R1<br>
&gt; Mar 14 16:19:13 gatekeeper pluto[4146]: &quot;pax_square&quot;[1]<br>
&gt; 66.225.x.x #1: STATE_MAIN_R1: sent MR1, expecting MI2<br>
&gt; Mar 14 16:19:23 gatekeeper pluto[4146]: packet from<br>
&gt; 66.225.x.x:500: ignoring unknown Vendor ID payload<br>
&gt; [4f4540454371496d7a684644]<br>
&gt; Mar 14 16:19:23 gatekeeper pluto[4146]: packet from<br>
&gt; 66.225.x.x:500: received Vendor ID payload [Dead Peer Detection]<br>
&gt; Mar 14 16:19:23 gatekeeper pluto[4146]: packet from<br>
&gt; 66.225.x.x:500: received Vendor ID payload [RFC 3947]<br>
&gt; meth=110, but port floating is off<br>
&gt; Mar 14 16:19:23 gatekeeper pluto[4146]: packet from<br>
&gt; 66.225.x.x:500: received Vendor ID payload<br>
&gt; [draft-ietf-ipsec-nat-t-ike-03] meth=108, but port floating is off<br>
&gt; Mar 14 16:19:23 gatekeeper pluto[4146]: packet from<br>
&gt; 66.225.x.x:500: received Vendor ID payload<br>
&gt; [draft-ietf-ipsec-nat-t-ike-02] meth=107, but port floating is off<br>
&gt; Mar 14 16:19:23 gatekeeper pluto[4146]: packet from<br>
&gt; 66.225.x.x:500: ignoring Vendor ID payload<br>
&gt; [draft-ietf-ipsec-nat-t-ike-00]<br>
&gt; Mar 14 16:19:23 gatekeeper pluto[4146]: &quot;pax_square&quot;[1]<br>
&gt; 66.225.x.x #2: responding to Main Mode from unknown peer 66.225.x.x<br>
&gt; Mar 14 16:19:23 gatekeeper pluto[4146]: &quot;pax_square&quot;[1]<br>
&gt; 66.225.x.x #2: transition from state STATE_MAIN_R0 to state<br>
&gt; STATE_MAIN_R1<br>
&gt; Mar 14 16:19:23 gatekeeper pluto[4146]: &quot;pax_square&quot;[1]<br>
&gt; 66.225.x.x #2: STATE_MAIN_R1: sent MR1, expecting MI2<br>
&gt; Mar 14 16:19:43 gatekeeper pluto[4146]: packet from<br>
&gt; 66.225.x.x:500: ignoring unknown Vendor ID payload<br>
&gt; [4f4540454371496d7a684644]<br>
&gt; Mar 14 16:19:43 gatekeeper pluto[4146]: packet from<br>
&gt; 66.225.x.x:500: received Vendor ID payload [Dead Peer Detection]<br>
&gt; Mar 14 16:19:43 gatekeeper pluto[4146]: packet from<br>
&gt; 66.225.x.x:500: received Vendor ID payload [RFC 3947]<br>
&gt; meth=110, but port floating is off<br>
&gt; Mar 14 16:19:43 gatekeeper pluto[4146]: packet from<br>
&gt; 66.225.x.x:500: received Vendor ID payload<br>
&gt; [draft-ietf-ipsec-nat-t-ike-03] meth=108, but port floating is off<br>
&gt; Mar 14 16:19:43 gatekeeper pluto[4146]: packet from<br>
&gt; 66.225.x.x:500: received Vendor ID payload<br>
&gt; [draft-ietf-ipsec-nat-t-ike-02] meth=107, but port floating is off<br>
&gt; Mar 14 16:19:43 gatekeeper pluto[4146]: packet from<br>
&gt; 66.225.x.x:500: ignoring Vendor ID payload<br>
&gt; [draft-ietf-ipsec-nat-t-ike-00]<br>
&gt; Mar 14 16:19:43 gatekeeper pluto[4146]: &quot;pax_square&quot;[1]<br>
&gt; 66.225.x.x #3: responding to Main Mode from unknown peer 66.225.x.x<br>
&gt; Mar 14 16:19:43 gatekeeper pluto[4146]: &quot;pax_square&quot;[1]<br>
&gt; 66.225.x.x #3: transition from state STATE_MAIN_R0 to state<br>
&gt; STATE_MAIN_R1<br>
&gt; Mar 14 16:19:43 gatekeeper pluto[4146]: &quot;pax_square&quot;[1]<br>
&gt; 66.225.x.x #3: STATE_MAIN_R1: sent MR1, expecting MI2<br>
&gt; Mar 14 16:20:23 gatekeeper pluto[4146]: &quot;pax_square&quot;[1]<br>
&gt; 66.225.x.x #1: max number of retransmissions (2) reached STATE_MAIN_R1<br>
&gt; Mar 14 16:20:33 gatekeeper pluto[4146]: &quot;pax_square&quot;[1]<br>
&gt; 66.225.x.x #2: max number of retransmissions (2) reached STATE_MAIN_R1<br>
&gt; Mar 14 16:20:53 gatekeeper pluto[4146]: &quot;pax_square&quot;[1]<br>
&gt; 66.225.x.x #3: max number of retransmissions (2) reached STATE_MAIN_R1<br>
&gt; Mar 14 16:20:53 gatekeeper pluto[4146]: &quot;pax_square&quot;[1]<br>
&gt; 66.225.x.x: deleting connection &quot;pax_square&quot; instance with<br>
&gt; peer 66.225.x.x {isakmp=#0/ipsec=#0}<br>
&gt;<br>
&gt;<br>
&gt; Thanks<br>
&gt; -Chris<br>
&gt;<br>
&gt; -----Original Message-----<br>
&gt; From: Peter McGill [<a href="mailto:petermcgill@goco.net">mailto:petermcgill@goco.net</a>]<br>
&gt; Sent: Friday, March 14, 2008 3:54 PM<br>
&gt; To: Chris Thomas; users@openswan.org<br>
&gt; Subject: RE: [Openswan Users] Getting there....<br>
&gt;<br>
&gt; Hmm, I see that your lan (10.5..), not your wan (66.225..)<br>
&gt; is your default route. Since leftnexthop defaults to your<br>
&gt; default route, this might be your problem.<br>
&gt; I suggest setting the following in ipsec.conf<br>
&gt; conn central-site<br>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; left=66.225.Ubuntu<br>
&gt; +&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftnexthop=66.225.Cisco2950<br>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet=192.168.0.0/24<br>
&gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsourceip=192.168.0.20<br>
&gt;<br>
&gt;<br>
&gt; Peter McGill<br>
&gt;&nbsp;<br>
&gt;<br>
&gt; &gt; -----Original Message-----<br>
&gt; &gt; From: Chris Thomas [<a href="mailto:cthomas@harkinsbuilders.com">mailto:cthomas@harkinsbuilders.com</a>]<br>
&gt; &gt; Sent: March 14, 2008 3:43 PM<br>
&gt; &gt; To: petermcgill@goco.net; users@openswan.org<br>
&gt; &gt; Subject: RE: [Openswan Users] Getting there....<br>
&gt; &gt;<br>
&gt; &gt; Good to hear my configs are OK, although I guess it would<br>
&gt; &gt; have been better if there was something wrong, so it would be<br>
&gt; &gt; easier to diagnose this.&nbsp;<br>
&gt; &gt;<br>
&gt; &gt; Yeah, my key is specified in that format and no, my Cisco<br>
&gt; &gt; router isn't NAT'ing or filtering any traffic.&nbsp; I'm stumped.<br>
&gt; &gt;<br>
&gt; &gt; My ipsec barf is attached, if anyone out there wants to<br>
&gt; &gt; really help me out.&nbsp; I really do appreciate the assistance<br>
&gt; &gt; here.&nbsp; Hopefully I (we) can get this up and running soon.<br>
&gt; &gt;<br>
&gt; &gt; Thanks very much, and have a great weekend.<br>
&gt; &gt; -Chris<br>
&gt; &gt;<br>
&gt; &gt; From: Peter McGill [<a href="mailto:petermcgill@goco.net">mailto:petermcgill@goco.net</a>]<br>
&gt; &gt; Sent: Friday, March 14, 2008 3:17 PM<br>
&gt; &gt; To: Chris Thomas; users@openswan.org<br>
&gt; &gt; Subject: RE: [Openswan Users] Getting there....<br>
&gt; &gt;<br>
&gt; &gt; I cannot find anything wrong with your setup.<br>
&gt; &gt; &nbsp;<br>
&gt; &gt; Yes your correct the Ubuntu firewall is blocking/altering nothing.<br>
&gt; &gt; (This is as it should be if you turned it off.)<br>
&gt; &gt; When you get things working you should be able to turn the firewall<br>
&gt; &gt; back on, so long as it allows -p 50 and -p 17 -d 500<br>
&gt; inbound/outbound,<br>
&gt; &gt; and excludes your remote subnet from NAT MASQUERADE/SNAT.<br>
&gt; &gt; iptables -t nat -I POSTROUTING -d 192.168.36.0/24 -j ACCEPT<br>
&gt; &gt; &nbsp;<br>
&gt; &gt; The pictures cleared a few questions up.<br>
&gt; &gt; Your linksys configs look just fine to me.<br>
&gt; &gt; &nbsp;<br>
&gt; &gt; You put your key in the Ubuntu in /etc/ipsec.secrets, like<br>
&gt; this right?<br>
&gt; &gt; 66.225.UbuntuIP : PSK &quot;my secret text key&quot;<br>
&gt; &gt; &nbsp;<br>
&gt; &gt; Your Cisco 2950 Series isn't by any chance firewall filtering or<br>
&gt; &gt; network address translating the IPSec traffic, or trying to<br>
&gt; &gt; intercept it?<br>
&gt; &gt; &nbsp;<br>
&gt; &gt; My only other suggestion is to do an ipsec barf and post it's output<br>
&gt; &gt; to the list, in an attachment.<br>
&gt; &gt; Maybe someone else can see what your problem is.<br>
&gt; &gt; Best to post in plain text, not everyone can read html mail, and<br>
&gt; &gt; the list digests strip out html mail to links... which I<br>
&gt; never used to<br>
&gt; &gt; bother to read, others might do the same.<br>
&gt; &gt; &nbsp;<br>
&gt; &gt; Peter McGill<br>
&gt; &gt; &nbsp;<br>
&gt; &gt;<br>
&gt; &gt; ________________________________________<br>
&gt; &gt; From: Chris Thomas [<a href="mailto:cthomas@harkinsbuilders.com">mailto:cthomas@harkinsbuilders.com</a>]<br>
&gt; &gt; Sent: March 14, 2008 2:19 PM<br>
&gt; &gt; To: users@openswan.org; petermcgill@goco.net<br>
&gt; &gt; Subject: RE: [Openswan Users] Getting there....<br>
&gt; &gt; Sorry about that.&nbsp; Here's the info:<br>
&gt; &gt;<br>
&gt; &gt; When I run the command you gave me below, I get this:<br>
&gt; &gt;<br>
&gt; &gt; root@gatekeeper:/home/administrator# iptables -t filter -L -n -v<br>
&gt; &gt; Chain INPUT (policy ACCEPT 0 packets, 0 bytes)<br>
&gt; &gt; &nbsp;pkts bytes target&nbsp;&nbsp;&nbsp;&nbsp; prot opt
in&nbsp;&nbsp;&nbsp;&nbsp; out&nbsp;&nbsp;&nbsp;&nbsp;
source&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; destination<br>
&gt; &gt;<br>
&gt; &gt; Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)<br>
&gt; &gt; &nbsp;pkts bytes target&nbsp;&nbsp;&nbsp;&nbsp; prot opt
in&nbsp;&nbsp;&nbsp;&nbsp; out&nbsp;&nbsp;&nbsp;&nbsp;
source&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; destination<br>
&gt; &gt;<br>
&gt; &gt; Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)<br>
&gt; &gt; &nbsp;pkts bytes target&nbsp;&nbsp;&nbsp;&nbsp; prot opt
in&nbsp;&nbsp;&nbsp;&nbsp; out&nbsp;&nbsp;&nbsp;&nbsp;
source&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; destination<br>
&gt; &gt; root@gatekeeper:/home/administrator# iptables -t nat -L -n -v<br>
&gt; &gt; Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)<br>
&gt; &gt; &nbsp;pkts bytes target&nbsp;&nbsp;&nbsp;&nbsp; prot opt
in&nbsp;&nbsp;&nbsp;&nbsp; out&nbsp;&nbsp;&nbsp;&nbsp;
source&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&gt; &gt;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;destination<br>
&gt; &gt;<br>
&gt; &gt; Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)<br>
&gt; &gt; &nbsp;pkts bytes target&nbsp;&nbsp;&nbsp;&nbsp; prot opt
in&nbsp;&nbsp;&nbsp;&nbsp; out&nbsp;&nbsp;&nbsp;&nbsp;
source&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; destination<br>
&gt; &gt;<br>
&gt; &gt; Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)<br>
&gt; &gt; &nbsp;pkts bytes target&nbsp;&nbsp;&nbsp;&nbsp; prot opt
in&nbsp;&nbsp;&nbsp;&nbsp; out&nbsp;&nbsp;&nbsp;&nbsp;
source&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; destination<br>
&gt; &gt; root@gatekeeper:/home/administrator# iptables -t mangle -L -n -v<br>
&gt; &gt; Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)<br>
&gt; &gt; &nbsp;pkts bytes target&nbsp;&nbsp;&nbsp;&nbsp; prot opt
in&nbsp;&nbsp;&nbsp;&nbsp; out&nbsp;&nbsp;&nbsp;&nbsp;
source&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;destination<br>
&gt; &gt;<br>
&gt; &gt; Chain INPUT (policy ACCEPT 0 packets, 0 bytes)<br>
&gt; &gt; &nbsp;pkts bytes target&nbsp;&nbsp;&nbsp;&nbsp; prot opt
in&nbsp;&nbsp;&nbsp;&nbsp; out&nbsp;&nbsp;&nbsp;&nbsp;
source&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; destination<br>
&gt; &gt;<br>
&gt; &gt; Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)<br>
&gt; &gt; &nbsp;pkts bytes target&nbsp;&nbsp;&nbsp;&nbsp; prot opt
in&nbsp;&nbsp;&nbsp;&nbsp; out&nbsp;&nbsp;&nbsp;&nbsp; source
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;destination<br>
&gt; &gt;<br>
&gt; &gt; Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)<br>
&gt; &gt; &nbsp;pkts bytes target&nbsp;&nbsp;&nbsp;&nbsp; prot opt
in&nbsp;&nbsp;&nbsp;&nbsp; out&nbsp;&nbsp;&nbsp;&nbsp;
source&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; destination<br>
&gt; &gt;<br>
&gt; &gt; Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)<br>
&gt; &gt; &nbsp;pkts bytes target&nbsp;&nbsp;&nbsp;&nbsp; prot opt in&nbsp;&nbsp;&nbsp;&nbsp;
out&nbsp;&nbsp;
&nbsp;&nbsp;source&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; destination<br>
&gt; &gt; root@gatekeeper:/home/administrator#<br>
&gt; &gt;<br>
&gt; &gt; I guess this is telling me that nothing is blocked and there<br>
&gt; &gt; are no rules?<br>
&gt; &gt;<br>
&gt; &gt; I am connecting through the internet.&nbsp; My company is actually<br>
&gt; &gt; the ISP for other companies in our building and the building<br>
&gt; &gt; next to us, so I am using a separate IP space outside of our<br>
&gt; &gt; network to put the Linksys box and set up my test remote<br>
&gt; &gt; site.&nbsp; My Linux server is using an IP in the same subnet as<br>
&gt; &gt; my Check Point firewall, but it is going &quot;around&quot; the<br>
&gt; &gt; firewall.&nbsp; To help explain all of this, I have thrown<br>
&gt; &gt; together a quick diagram of everything.&nbsp; You can access it<br>
&gt; &gt; here:&nbsp;<br>
&gt; &gt; <a
href="http://www.imagehosting.com/show.php/1630007_OpenSwanDiagram.j">http://www.imagehosting.com/show.php/1630007_OpenSwanDiagram.j</a><br>
&gt; &gt; pg.html.&nbsp; If I have left something out, please let me know.<br>
&gt; &gt;<br>
&gt; &gt; The Ubuntu server and the Linksys router do indeed have their<br>
&gt; &gt; own external IP addresses.&nbsp; Here is my Linksys config:&nbsp;<br>
&gt; &gt; <a
href="http://www.imagehosting.com/show.php/1630052_linksyscfgPage1.j">http://www.imagehosting.com/show.php/1630052_linksyscfgPage1.j</a><br>
&gt; &gt; pg.html and<br>
&gt; &gt; <a
href="http://www.imagehosting.com/show.php/1630053_linksyscfgPage2.j">http://www.imagehosting.com/show.php/1630053_linksyscfgPage2.j</a><br>
&gt; &gt; pg.html.&nbsp;<br>
&gt; &gt;<br>
&gt; &gt; I am hoping these pics look OK.&nbsp; If you need me to provide<br>
&gt; &gt; additional information, please let me know.<br>
&gt; &gt;<br>
&gt; &gt; Thanks again for all of your help.<br>
&gt; &gt; -Chris<br>
&gt; &gt;<br>
&gt; &gt; From: Peter McGill [<a href="mailto:petermcgill@goco.net">mailto:petermcgill@goco.net</a>]<br>
&gt; &gt; Sent: Friday, March 14, 2008 12:50 PM<br>
&gt; &gt; To: Chris Thomas; users@openswan.org<br>
&gt; &gt; Subject: RE: [Openswan Users] Getting there....<br>
&gt; &gt;<br>
&gt; &gt; Firewall was merely a place to check, not guaranteed to be<br>
&gt; &gt; the problem.<br>
&gt; &gt; If you can get a console on your Ubuntu, you can check<br>
&gt; &gt; firewall with...<br>
&gt; &gt; iptables -t filter -L -n -v<br>
&gt; &gt; iptables -t nat -L -n -v<br>
&gt; &gt; iptables -t mangle -L -n -v<br>
&gt; &gt; &nbsp;<br>
&gt; &gt; Are you connecting through the internet, or are you testing<br>
&gt; &gt; internally?<br>
&gt; &gt; Do both the Ubuntu server and linksys router have public<br>
&gt; &gt; internet ip addresses?<br>
&gt; &gt; (Not 172.16...172.32... or 10... or 192.168..., etc...)<br>
&gt; &gt; I cannot tell as you completely edited them from your posts.<br>
&gt; &gt; Next time try just masking the end like: 66.11.x.x<br>
&gt; &gt; Testing internally sometimes needs different settings than<br>
&gt; &gt; production internet.<br>
&gt; &gt; &nbsp;<br>
&gt; &gt; Is linksys using DES or 3DES? Should be 3DES &amp; MD5 matching<br>
&gt; &gt; your openswan.<br>
&gt; &gt; Can you show us your linksys ipsec configuration?<br>
&gt; &gt; &nbsp;<br>
&gt; &gt; Peter McGill<br>
&gt; &gt; &nbsp;<br>
&gt; &gt;<br>
&gt; &gt; ________________________________________<br>
&gt; &gt; From: users-bounces@openswan.org<br>
&gt; &gt; [<a href="mailto:users-bounces@openswan.org">mailto:users-bounces@openswan.org</a>]
On Behalf Of Chris Thomas<br>
&gt; &gt; Sent: March 14, 2008 12:19 PM<br>
&gt; &gt; To: users@openswan.org<br>
&gt; &gt; Subject: Re: [Openswan Users] Getting there....<br>
&gt; &gt; OK, I have hit a brick wall here and it's getting a bit<br>
&gt; &gt; frustrating.&nbsp; I have disabled the Linux firewall and the<br>
&gt; &gt; Shoreline firewall on my server and I'm still getting the<br>
&gt; &gt; same error below when I attempt to establish the tunnel.&nbsp; Is<br>
&gt; &gt; this absolutely positively due to a firewall issue or is it<br>
&gt; &gt; possible that I've got something else incorrectly configured<br>
&gt; &gt; somewhere?&nbsp; I am fairly new to Linux so I am administering my<br>
&gt; &gt; Ubuntu server with Webmin.&nbsp; That is what I am using to verify<br>
&gt; &gt; that the firewall(s) are turned off.&nbsp;<br>
&gt; &gt;<br>
&gt; &gt; I have also disabled the firewall on the Linksys box and have<br>
&gt; &gt; examined it's logs.&nbsp; This is what shows up after I hit<br>
&gt; &gt; &quot;connect&quot; to initiate the tunnel:<br>
&gt; &gt;<br>
&gt; &gt; Mar 14 09:33:34 - [VPN Log]: &quot;pax_square&quot; #2: initiating
Main Mode<br>
&gt; &gt; Mar 14 09:33:43 - [VPN Log]: initiate on demand from<br>
&gt; &gt; 192.168.36.100:0 to 192.168.0.30:0 proto=0 state: fos_start<br>
&gt; &gt; because: acquire<br>
&gt; &gt; Mar 14 09:34:44 - [VPN Log]: &quot;pax_square&quot; #2: max number of<br>
&gt; &gt; retransmissions (2) reached STATE_MAIN_I1. No response (or no<br>
&gt; &gt; acceptable response) to our first IKE message<br>
&gt; &gt; Mar 14 10:08:54 - [VPN Log]: &quot;pax_square&quot; #3: initiating
Main Mode<br>
&gt; &gt; Mar 14 10:10:04 - [VPN Log]: &quot;pax_square&quot; #3: max number of<br>
&gt; &gt; retransmissions (2) reached STATE_MAIN_I1. No response (or no<br>
&gt; &gt; acceptable response) to our first IKE message<br>
&gt; &gt; Mar 14 10:53:58 - [VPN Log]: &quot;pax_square&quot; #4: initiating
Main Mode<br>
&gt; &gt; Mar 14 10:55:08 - [VPN Log]: &quot;pax_square&quot; #4: max number of<br>
&gt; &gt; retransmissions (2) reached STATE_MAIN_I1. No response (or no<br>
&gt; &gt; acceptable response) to our first IKE message<br>
&gt; &gt;<br>
&gt; &gt; If it helps, this is my ipsec.conf file on the Ubuntu server<br>
&gt; &gt; running OpenSwan:<br>
&gt; &gt;<br>
&gt; &gt; version&nbsp;&nbsp;
2.0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # conforms to second
version of<br>
&gt; &gt; ipsec.conf specification<br>
&gt; &gt;<br>
&gt; &gt; config setup<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; interfaces=%defaultroute<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; uniqueids=yes<br>
&gt; &gt; &nbsp;<br>
&gt; &gt; include /etc/ipsec.d/examples/no_oe.conf<br>
&gt; &gt; &nbsp;<br>
&gt; &gt; conn pax_square<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; also=central-site<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; right=%any<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightid=@pax_square<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
rightsubnet=192.168.36.0/24<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; also=linksys-policy<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto=add<br>
&gt; &gt; &nbsp;<br>
&gt; &gt; conn central-site<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; left=(external IP of Linux
server)<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet=192.168.0.0/24<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsourceip=192.168.0.20<br>
&gt; &gt;<br>
&gt; &gt; conn linksys-policy<br>
&gt; &gt; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;ike=3des-md5-modp1024<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
esp=3des-md5&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; compress=no<br>
&gt; &gt; &nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;authby=secret<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt; If it's definitely the firewall, I'll go back to the drawing<br>
&gt; &gt; board and see what I can see.<br>
&gt; &gt;<br>
&gt; &gt; As before, I appreciate the help and patience.<br>
&gt; &gt; Thanks<br>
&gt; &gt; -Chris<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt; From: Peter McGill [<a href="mailto:petermcgill@goco.net">mailto:petermcgill@goco.net</a>]<br>
&gt; &gt; Sent: Thursday, March 13, 2008 4:14 PM<br>
&gt; &gt; To: Chris Thomas; users@openswan.org<br>
&gt; &gt; Subject: RE: [Openswan Users] Getting there....<br>
&gt; &gt;<br>
&gt; &gt; Check your firewall(s) on both ends, and check the linksys logs.<br>
&gt; &gt; You must allow ipsec (and ipsec encapsulated traffic)&nbsp;in your<br>
&gt; &gt; firewalls.<br>
&gt; &gt; protocol&nbsp;&nbsp;&nbsp; port&nbsp;&nbsp;&nbsp; description<br>
&gt; &gt; 17&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
500&nbsp;&nbsp;&nbsp; udp:isakmp<br>
&gt; &gt;
50&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;esp<br>
&gt; &gt; You must allow the above inbound and outbound on your<br>
&gt; &gt; internet interfaces.<br>
&gt; &gt; You must also allow the subnet-to-subnet traffic.<br>
&gt; &gt; &nbsp;<br>
&gt; &gt; Peter McGill<br>
&gt; &gt; &nbsp;<br>
&gt; &gt;<br>
&gt; &gt; ________________________________________<br>
&gt; &gt; From: users-bounces@openswan.org<br>
&gt; &gt; [<a href="mailto:users-bounces@openswan.org">mailto:users-bounces@openswan.org</a>]
On Behalf Of Chris Thomas<br>
&gt; &gt; Sent: March 13, 2008 4:06 PM<br>
&gt; &gt; To: users@openswan.org<br>
&gt; &gt; Subject: Re: [Openswan Users] Getting there....<br>
&gt; &gt; OK, I changed my Linksys box to 1024 bit and I now have this:<br>
&gt; &gt;<br>
&gt; &gt; Mar 13 16:01:48 gatekeeper pluto[11850]: packet from (remote<br>
&gt; &gt; site IP):500: ignoring unknown Vendor ID payload<br>
&gt; &gt; [4f4540454371496d7a684644]<br>
&gt; &gt; Mar 13 16:01:48 gatekeeper pluto[11850]: packet from (remote<br>
&gt; &gt; site IP):500: received Vendor ID payload [Dead Peer Detection]<br>
&gt; &gt; Mar 13 16:01:48 gatekeeper pluto[11850]: packet from (remote<br>
&gt; &gt; site IP):500: received Vendor ID payload [RFC 3947] meth=110,<br>
&gt; &gt; but port floating is off<br>
&gt; &gt; Mar 13 16:01:48 gatekeeper pluto[11850]: packet from (remote<br>
&gt; &gt; site IP):500: received Vendor ID payload<br>
&gt; &gt; [draft-ietf-ipsec-nat-t-ike-03] meth=108, but port floating is off<br>
&gt; &gt; Mar 13 16:01:48 gatekeeper pluto[11850]: packet from (remote<br>
&gt; &gt; site IP):500: received Vendor ID payload<br>
&gt; &gt; [draft-ietf-ipsec-nat-t-ike-02] meth=107, but port floating is off<br>
&gt; &gt; Mar 13 16:01:48 gatekeeper pluto[11850]: packet from (remote<br>
&gt; &gt; site IP):500: ignoring Vendor ID payload<br>
&gt; &gt; [draft-ietf-ipsec-nat-t-ike-00]<br>
&gt; &gt; Mar 13 16:01:48 gatekeeper pluto[11850]: &quot;pax_square&quot;[5]<br>
&gt; &gt; (remote site IP) #9: responding to Main Mode from unknown<br>
&gt; &gt; peer (remote site IP)<br>
&gt; &gt; Mar 13 16:01:48 gatekeeper pluto[11850]: &quot;pax_square&quot;[5]<br>
&gt; &gt; (remote site IP) #9: transition from state STATE_MAIN_R0 to<br>
&gt; &gt; state STATE_MAIN_R1<br>
&gt; &gt; Mar 13 16:01:48 gatekeeper pluto[11850]: &quot;pax_square&quot;[5]<br>
&gt; &gt; (remote site IP) #9: STATE_MAIN_R1: sent MR1, expecting MI2<br>
&gt; &gt; Mar 13 16:02:28 gatekeeper pluto[11850]: &quot;pax_square&quot;[5]<br>
&gt; &gt; (remote site IP) #7: max number of retransmissions (2)<br>
&gt; &gt; reached STATE_MAIN_R1<br>
&gt; &gt;<br>
&gt; &gt; Thanks<br>
&gt; &gt; -Chris<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt; From: Peter McGill [<a href="mailto:petermcgill@goco.net">mailto:petermcgill@goco.net</a>]<br>
&gt; &gt; Sent: Thursday, March 13, 2008 3:50 PM<br>
&gt; &gt; To: Chris Thomas; users@openswan.org<br>
&gt; &gt; Subject: RE: [Openswan Users] Getting there....<br>
&gt; &gt;<br>
&gt; &gt; There is a mismatch in your options, specifically your<br>
&gt; DH/modp Group.<br>
&gt; &gt; Diffie-Hellman (DH) Group needs to match openswan's ike=*-modp????<br>
&gt; &gt; I'm guessing that your linksys is sending Diffie-Hellmen (DH)<br>
&gt; &gt; Group 1 (768-bit).<br>
&gt; &gt; Openswan will not allow this because it's too weak of security.<br>
&gt; &gt; If you have ike=3des-md5-modp1024 or ike=aes-sha1-modp1024 as<br>
&gt; &gt; I suggested,<br>
&gt; &gt; then change your linksys to use Group 2 (1024-bit) to match it.<br>
&gt; &gt; &nbsp;<br>
&gt; &gt; Peter McGill<br>
&gt; &gt; &nbsp;<br>
&gt; &gt;<br>
&gt; &gt; ________________________________________<br>
&gt; &gt; From: users-bounces@openswan.org<br>
&gt; &gt; [<a href="mailto:users-bounces@openswan.org">mailto:users-bounces@openswan.org</a>]
On Behalf Of Chris Thomas<br>
&gt; &gt; Sent: March 13, 2008 3:40 PM<br>
&gt; &gt; To: users@openswan.org<br>
&gt; &gt; Subject: [Openswan Users] Getting there....<br>
&gt; &gt; Hello again, everyone.&nbsp; I have configured my Linksys box to<br>
&gt; &gt; connect to my Ubuntu server running OpenSwan, but when I<br>
&gt; &gt; attempt to initiate the connection, my logs on the server at<br>
&gt; &gt; HQ get full of this stuff:<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt; Mar 13 15:31:54 gatekeeper pluto[11850]: packet from (remote<br>
&gt; &gt; site external IP):500: ignoring unknown Vendor ID payload<br>
&gt; &gt; [4f4540454371496d7a684644]<br>
&gt; &gt; Mar 13 15:31:54 gatekeeper pluto[11850]: packet from (remote<br>
&gt; &gt; site external IP):500: received Vendor ID payload [Dead Peer<br>
&gt; &gt; Detection]<br>
&gt; &gt; Mar 13 15:31:54 gatekeeper pluto[11850]: packet from (remote<br>
&gt; &gt; site external IP):500: received Vendor ID payload [RFC 3947]<br>
&gt; &gt; meth=110, but port floating is off<br>
&gt; &gt; Mar 13 15:31:54 gatekeeper pluto[11850]: packet from (remote<br>
&gt; &gt; site external IP):500: received Vendor ID payload<br>
&gt; &gt; [draft-ietf-ipsec-nat-t-ike-03] meth=108, but port floating is off<br>
&gt; &gt; Mar 13 15:31:54 gatekeeper pluto[11850]: packet from (remote<br>
&gt; &gt; site external IP):500: received Vendor ID payload<br>
&gt; &gt; [draft-ietf-ipsec-nat-t-ike-02] meth=107, but port floating is off<br>
&gt; &gt; Mar 13 15:31:54 gatekeeper pluto[11850]: packet from (remote<br>
&gt; &gt; site external IP):500: ignoring Vendor ID payload<br>
&gt; &gt; [draft-ietf-ipsec-nat-t-ike-00]<br>
&gt; &gt; Mar 13 15:31:54 gatekeeper pluto[11850]: &quot;pax_square&quot;[1]<br>
&gt; &gt; (remote site external IP) #1: responding to Main Mode from<br>
&gt; &gt; unknown peer (remote site external IP)<br>
&gt; &gt; Mar 13 15:31:54 gatekeeper pluto[11850]: &quot;pax_square&quot;[1]<br>
&gt; &gt; (remote site external IP) #1: only OAKLEY_GROUP_MODP1024 and<br>
&gt; &gt; OAKLEY_GROUP_MODP1536 supported.&nbsp; Attribute
OAKLEY_GROUP_DESCRIPTION<br>
&gt; &gt; Mar 13 15:31:54 gatekeeper pluto[11850]: &quot;pax_square&quot;[1]<br>
&gt; &gt; (remote site external IP) #1: no acceptable Oakley Transform<br>
&gt; &gt; Mar 13 15:31:54 gatekeeper pluto[11850]: &quot;pax_square&quot;[1]<br>
&gt; &gt; (remote site external IP) #1: sending notification<br>
&gt; &gt; NO_PROPOSAL_CHOSEN to (remote site external IP):500<br>
&gt; &gt; Mar 13 15:31:54 gatekeeper pluto[11850]: &quot;pax_square&quot;[1]<br>
&gt; &gt; (remote site external IP): deleting connection &quot;pax_square&quot;<br>
&gt; &gt; instance with peer (remote site external IP) {isakmp=#0/ipsec=#0}<br>
&gt; &gt;<br>
&gt; &gt; I am assuming that it has something to do with the Preshared<br>
&gt; &gt; key that I am using, but I am not too sure how to go about<br>
&gt; &gt; fixing it.&nbsp; I do not want to be a nuisance, but can anyone<br>
&gt; &gt; give me a (another) push in the right direction?&nbsp;<br>
&gt; &gt;<br>
&gt; &gt; I appreciate your patience.<br>
&gt; &gt; -Chris<br>
&gt; &gt;<br>
&gt;</span><o:p></o:p></p>

</div>

</blockquote>

</blockquote>

</div>

</body>

</html>