<html>
<head>
<style>
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
FONT-SIZE: 10pt;
FONT-FAMILY:Tahoma
}
</style>
</head>
<body class='hmmessage'>
I am have trouble connecting my laptop running Ubuntu 8.04 from home to <br>our office at work. I have googling and reading for weeks to get this <br>running with no success. I think I am getting close, but am currently <br>stumped. Any help is greatly appreciated as I am really new to all this <br>stuff.<br><br>At home, my laptop is behind a firewall and gets a dynamic IP address <br>from my DHCP server. At the office, we are running a Sonicwall Pro 4100 <br>running Sonicwall OS 4.0.0.2-51E. The sonicwall has a static IP address <br>and is configured as follows:<br><br>IPSec with IKE v1<br>Pre-shared key<br>Domain based xauth<br>Proposals:<br>IKE Phase I<br>DH Group: Group 2<br>Encryption: 3DES<br>Authentication: MD5<br>Lifetime (seconds): 28800<br>IKE Phase II<br>Protocol: ESP<br>Encryption: 3DES<br>Authentication: MD5<br>PFS: Disabled<br><br>My /etc/ipsec.conf settings are as follows:<br><br>config setup<br>nat_traversal=yes # yes by default, needed if you are behind NAT<br>nhelpers=0 # this was 0 by default...no idea what it does<br>interfaces="ipsec0=eth0" # needed to added this according to ubuntu thread<br><br><br>conn WorkOffice<br>type=tunnel # Needed for host-to-subnet<br>left=192.168.1.109 # this computer's external internet address<br>leftsubnet=192.168.1.109/32 # private local address/netmask 32=this <br>machine only (UBUNTU LEFT THIS OUT)<br>leftid=@GroupVPN # ????????????? can this be anything?????<br>leftxauthclient=yes # Indicates the left side asks to be xauth authenticated<br>right= [filtered from email posting] # WAN IP address of SonicWALL<br>rightsubnet= 192.168.253.1/24 # Destination network (usually LAN subnet <br>of SonicWALL)<br>rightid=@[filtered from email posting] # Peer ID - SonicWALL’s Unique <br>Firewall Identifier<br>rightxauthserver=yes # Indicates the right side does the xauth <br>authentication<br>keyingtries=0 # Number of times ipsec should try to obtain a key 0=infinite<br>pfs=no # Perfect Forward Secrecy, default=yes (?????? why no)<br>auto=add # authorizes but doesn't start this connection at startup<br>auth=esp # Authenticate over ESP protocol (the default) as opposed to AH<br>esp=3des-md5 # IKE Phase II Settings????<br>ike=3des-md5-modp1024 # IKE Phase I Settings??? -modp1024 = DH group 2<br>xauth=yes # IKE Extended Authentication (needed to authenticate as YOU)<br>authby=secret # Authenticate By - Preshared Secret (needed for sonicwall)<br>aggrmode=no # Aggressive Mode Phase 1 negotiations (requires use of IKE)<br><br><br>I have disabled ICMP redirects as follows:<br>for f in /proc/sys/net/ipv4/conf/*/accept_redirects; do echo 0> $f; done<br>for f in /proc/sys/net/ipv4/conf/*/send_redirects; do echo 0> $f; done<br><br>I have enabled IP forwarding as follows:<br>sysctl -w net.ipv4.ip_forward=1<br><br>I have tried to establish the connection, with two different commands <br>that both fail in the same way. The commands are:<br>ipsec whack --name WorkOffice --initiate<br>ipsec auto --up WorkOffice<br><br><br>The whack command just hangs, but the auto up command gives the <br>following output:<br><br>104 "WorkOffice" #1: STATE_MAIN_I1: initiate<br>003 "WorkOffice" #1: ignoring unknown Vendor ID payload [5b362bc820f60006]<br>003 "WorkOffice" #1: received Vendor ID payload [RFC 3947] method set <br>to=110<br>106 "WorkOffice" #1: STATE_MAIN_I2: sent MI2, expecting MR2<br>003 "WorkOffice" #1: ignoring unknown Vendor ID payload [404bf439522ca3f6]<br>003 "WorkOffice" #1: received Vendor ID payload [XAUTH]<br>003 "WorkOffice" #1: received Vendor ID payload [Dead Peer Detection]<br>003 "WorkOffice" #1: NAT-Traversal: Result using RFC 3947 <br>(NAT-Traversal): i am NATed<br>108 "WorkOffice" #1: STATE_MAIN_I3: sent MI3, expecting MR3<br>003 "WorkOffice" #1: Mode Config message is unacceptable because it is <br>for an incomplete ISAKMP SA (state=STATE_MAIN_I3)<br>010 "WorkOffice" #1: STATE_MAIN_I3: retransmission; will wait 20s for <br>response<br>010 "WorkOffice" #1: STATE_MAIN_I3: retransmission; will wait 40s for <br>response<br>003 "WorkOffice" #1: Mode Config message is unacceptable because it is <br>for an incomplete ISAKMP SA (state=STATE_MAIN_I3)<br>031 "WorkOffice" #1: max number of retransmissions (2) reached <br>STATE_MAIN_I3. Possible authentication failure: no acceptable response <br>to our first encrypted message<br>000 "WorkOffice" #1: starting keying attempt 2 of an unlimited number, <br>but releasing whack<br><br><br>Tailing /var/log/auth.log gives me the following output (truncated):<br><br>Sep 14 23:57:50 dwv-linux pluto[18408]: "WorkOffice" #2: initiating Main <br>Mode to replace #1<br>Sep 14 23:57:50 dwv-linux pluto[18408]: "WorkOffice" #2: ignoring <br>unknown Vendor ID payload [5b362bc820f60006]<br>Sep 14 23:57:50 dwv-linux pluto[18408]: "WorkOffice" #2: received Vendor <br>ID payload [RFC 3947] method set to=110<br>Sep 14 23:57:50 dwv-linux pluto[18408]: "WorkOffice" #2: enabling <br>possible NAT-traversal with method RFC 3947 (NAT-Traversal)<br>Sep 14 23:57:50 dwv-linux pluto[18408]: "WorkOffice" #2: transition from <br>state STATE_MAIN_I1 to state STATE_MAIN_I2<br>Sep 14 23:57:50 dwv-linux pluto[18408]: "WorkOffice" #2: STATE_MAIN_I2: <br>sent MI2, expecting MR2<br>Sep 14 23:57:50 dwv-linux pluto[18408]: "WorkOffice" #2: ignoring <br>unknown Vendor ID payload [404bf439522ca3f6]<br>Sep 14 23:57:50 dwv-linux pluto[18408]: "WorkOffice" #2: received Vendor <br>ID payload [XAUTH]<br>Sep 14 23:57:50 dwv-linux pluto[18408]: "WorkOffice" #2: received Vendor <br>ID payload [Dead Peer Detection]<br>Sep 14 23:57:50 dwv-linux pluto[18408]: "WorkOffice" #2: I did not send <br>a certificate because I do not have one.<br>Sep 14 23:57:50 dwv-linux pluto[18408]: "WorkOffice" #2: NAT-Traversal: <br>Result using RFC 3947 (NAT-Traversal): i am NATed<br>Sep 14 23:57:50 dwv-linux pluto[18408]: "WorkOffice" #2: transition from <br>state STATE_MAIN_I2 to state STATE_MAIN_I3<br>Sep 14 23:57:50 dwv-linux pluto[18408]: "WorkOffice" #2: STATE_MAIN_I3: <br>sent MI3, expecting MR3<br>Sep 14 23:57:50 dwv-linux pluto[18408]: "WorkOffice" #2: Mode Config <br>message is unacceptable because it is for an incomplete ISAKMP SA <br>(state=STATE_MAIN_I3)<br>Sep 14 23:58:00 dwv-linux pluto[18408]: packet from WW.XX.YY.ZZ:4500: <br>length of ISAKMP Message is larger than can fit<br>Sep 14 23:58:00 dwv-linux pluto[18408]: | payload malformed after IV<br>Sep 14 23:58:00 dwv-linux pluto[18408]: |<br>Sep 14 23:58:00 dwv-linux pluto[18408]: packet from WW.XX.YY.ZZ:4500: <br>sending notification PAYLOAD_MALFORMED to WW.XX.YY.ZZ:4500<br>Sep 14 23:58:20 dwv-linux pluto[18408]: packet from WW.XX.YY.ZZ:4500: <br>length of ISAKMP Message is larger than can fit<br>Sep 14 23:58:20 dwv-linux pluto[18408]: | payload malformed after IV<br>Sep 14 23:58:20 dwv-linux pluto[18408]: |<br>Sep 14 23:58:20 dwv-linux pluto[18408]: packet from WW.XX.YY.ZZ:4500: <br>sending notification PAYLOAD_MALFORMED to WW.XX.YY.ZZ:4500<br>Sep 14 23:58:42 dwv-linux pluto[18408]: packet from WW.XX.YY.ZZ:4500: <br>Mode Config message is for a non-existent (expired?) ISAKMP SA<br>Sep 14 23:58:51 dwv-linux pluto[18408]: "WorkOffice" #2: Mode Config <br>message is unacceptable because it is for an incomplete ISAKMP SA <br>(state=STATE_MAIN_I3)<br>Sep 14 23:59:00 dwv-linux pluto[18408]: "WorkOffice" #2: max number of <br>retransmissions (2) reached STATE_MAIN_I3. Possible authentication <br>failure: no acceptable response to our first encrypted message<br>Sep 14 23:59:00 dwv-linux pluto[18408]: "WorkOffice" #2: starting keying <br>attempt 3 of an unlimited number<br>Sep 14 23:59:00 dwv-linux pluto[18408]: "WorkOffice" #3: initiating Main <br>Mode to replace #2<br>Sep 14 23:59:00 dwv-linux pluto[18408]: "WorkOffice" #3: ignoring <br>unknown Vendor ID payload [5b362bc820f60006]<br>Sep 14 23:59:00 dwv-linux pluto[18408]: "WorkOffice" #3: received Vendor <br>ID payload [RFC 3947] method set to=110<br>Sep 14 23:59:00 dwv-linux pluto[18408]: "WorkOffice" #3: enabling <br>possible NAT-traversal with method RFC 3947 (NAT-Traversal)<br>Sep 14 23:59:00 dwv-linux pluto[18408]: "WorkOffice" #3: transition from <br>state STATE_MAIN_I1 to state STATE_MAIN_I2<br>Sep 14 23:59:00 dwv-linux pluto[18408]: "WorkOffice" #3: STATE_MAIN_I2: <br>sent MI2, expecting MR2<br>Sep 14 23:59:00 dwv-linux pluto[18408]: "WorkOffice" #3: ignoring <br>unknown Vendor ID payload [404bf439522ca3f6]<br>Sep 14 23:59:00 dwv-linux pluto[18408]: "WorkOffice" #3: received Vendor <br>ID payload [XAUTH]<br>Sep 14 23:59:00 dwv-linux pluto[18408]: "WorkOffice" #3: received Vendor <br>ID payload [Dead Peer Detection]<br>Sep 14 23:59:00 dwv-linux pluto[18408]: "WorkOffice" #3: I did not send <br>a certificate because I do not have one.<br>Sep 14 23:59:00 dwv-linux pluto[18408]: "WorkOffice" #3: NAT-Traversal: <br>Result using RFC 3947 (NAT-Traversal): i am NATed<br>Sep 14 23:59:00 dwv-linux pluto[18408]: "WorkOffice" #3: transition from <br>state STATE_MAIN_I2 to state STATE_MAIN_I3<br>Sep 14 23:59:00 dwv-linux pluto[18408]: "WorkOffice" #3: STATE_MAIN_I3: <br>sent MI3, expecting MR3<br>Sep 14 23:59:00 dwv-linux pluto[18408]: "WorkOffice" #3: Mode Config <br>message is unacceptable because it is for an incomplete ISAKMP SA <br>(state=STATE_MAIN_I3)<br>Sep 14 23:59:10 dwv-linux pluto[18408]: packet from WW.XX.YY.ZZ:4500: <br>length of ISAKMP Message is larger than can fit<br>Sep 14 23:59:10 dwv-linux pluto[18408]: | payload malformed after IV<br>Sep 14 23:59:10 dwv-linux pluto[18408]: |<br>Sep 14 23:59:10 dwv-linux pluto[18408]: packet from WW.XX.YY.ZZ:4500: <br>sending notification PAYLOAD_MALFORMED to WW.XX.YY.ZZ:4500<br><br><br><br><br><br /><hr />Get more out of the Web. Learn 10 hidden secrets of Windows Live. <a href='http://windowslive.com/connect/post/jamiethomson.spaces.live.com-Blog-cns!550F681DAD532637!5295.entry?ocid=TXT_TAGLM_WL_getmore_092008' target='_new'>Learn Now</a></body>
</html>