<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
</head>
<body bgcolor="#ffffff" text="#000000">
Hi,<br>
&nbsp;I've tried to setup like you said but I log I can see:<br>
<br>
<br>
Sep 29 12:57:38 vpn ipsec__plutorun: 104 "forti" #1: STATE_MAIN_I1:
initiate<br>
Sep 29 12:57:38 vpn ipsec__plutorun: ...could not start conn "forti"<br>
Sep 29 12:57:38 vpn pluto[25143]: packet from 81.xx.xx.66:500: ignoring
informational payload, type NO_PROPOSAL_CHOSEN<br>
Sep 29 12:57:38 vpn pluto[25143]: packet from 81.xx.xx.66:500: received
and ignored informational message<br>
Sep 29 12:57:47 vpn pluto[25143]: packet from 81.xx.xx.66:500: ignoring
informational payload, type NO_PROPOSAL_CHOSEN<br>
Sep 29 12:57:47 vpn pluto[25143]: packet from 81.xx.xx.66:500: received
and ignored informational message<br>
Sep 29 12:58:08 vpn pluto[25143]: packet from 81.xx.xx.66:500: ignoring
informational payload, type NO_PROPOSAL_CHOSEN<br>
Sep 29 12:58:08 vpn pluto[25143]: packet from 81.xx.xx.66:500: received
and ignored informational message<br>
<br>
vpn:~# ipsec auto --status<br>
000 interface lo/lo ::1<br>
000 interface lo/lo 127.0.0.1<br>
000 interface lo/lo 127.0.0.1<br>
000 interface eth0/eth0 78.xx.xx.20<br>
000 interface eth0/eth0 78.xx.xx.20<br>
000 interface eth0:2/eth0:2 192.168.127.15<br>
000 interface eth0:2/eth0:2 192.168.127.15<br>
000 interface eth0:1/eth0:1 192.168.0.15<br>
000 interface eth0:1/eth0:1 192.168.0.15<br>
000 interface tun0/tun0 10.4.0.1<br>
000 interface tun0/tun0 10.4.0.1<br>
000 %myid = (none)<br>
000 debug none<br>
000<br>
000 algorithm ESP encrypt: id=2, name=ESP_DES, ivlen=8, keysizemin=64,
keysizemax=64<br>
000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8,
keysizemin=192, keysizemax=192<br>
000 algorithm ESP encrypt: id=7, name=ESP_BLOWFISH, ivlen=8,
keysizemin=40, keysizemax=448<br>
000 algorithm ESP encrypt: id=11, name=ESP_NULL, ivlen=0, keysizemin=0,
keysizemax=0<br>
000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8,
keysizemin=128, keysizemax=256<br>
000 algorithm ESP encrypt: id=13, name=(null), ivlen=8, keysizemin=128,
keysizemax=256<br>
000 algorithm ESP encrypt: id=22, name=(null), ivlen=8, keysizemin=128,
keysizemax=256<br>
000 algorithm ESP encrypt: id=252, name=ESP_SERPENT, ivlen=8,
keysizemin=128, keysizemax=256<br>
000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=8,
keysizemin=128, keysizemax=256<br>
000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5,
keysizemin=128, keysizemax=128<br>
000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1,
keysizemin=160, keysizemax=160<br>
000 algorithm ESP auth attr: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256,
keysizemin=256, keysizemax=256<br>
000 algorithm ESP auth attr: id=9, name=AUTH_ALGORITHM_AES_CBC,
keysizemin=128, keysizemax=128<br>
000 algorithm ESP auth attr: id=251, name=(null), keysizemin=0,
keysizemax=0<br>
000<br>
000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8,
keydeflen=192<br>
000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16,
keydeflen=128<br>
000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16<br>
000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20<br>
000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024<br>
000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536<br>
000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048<br>
000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072<br>
000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096<br>
000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144<br>
000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192<br>
000<br>
000 stats db_ops.c: {curr_cnt, total_cnt, maxsz} :context={0,1,36}
trans={0,1,540} attrs={0,1,360}<br>
000<br>
000 "niemcy": 78.xx.xx.20---78.xx.xx.1...81.xx.xx.66===192.168.2.0/24;
prospective erouted; eroute owner: #0<br>
000 "niemcy":&nbsp;&nbsp;&nbsp;&nbsp; srcip=unset; dstip=unset; srcup=ipsec _updown;
dstup=ipsec _updown;<br>
000 "niemcy":&nbsp;&nbsp; ike_life: 86400s; ipsec_life: 86400s; rekey_margin:
540s; rekey_fuzz: 100%; keyingtries: 0<br>
000 "niemcy":&nbsp;&nbsp; policy: PSK+ENCRYPT+TUNNEL+UP; prio: 32,24; interface:
eth0; encap: esp;<br>
000 "niemcy":&nbsp;&nbsp; newest ISAKMP SA: #0; newest IPsec SA: #0;<br>
000 "niemcy":&nbsp;&nbsp; IKE algorithms wanted:
3DES_CBC(5)_000-MD5(1)-MODP1536(5), 3DES_CBC(5)_000-MD5(1)-MODP1024(2);
flags=strict<br>
000 "niemcy":&nbsp;&nbsp; IKE algorithms found:
3DES_CBC(5)_192-MD5(1)_128-MODP1536(5),
3DES_CBC(5)_192-MD5(1)_128-MODP1024(2)<br>
000 "niemcy":&nbsp;&nbsp; ESP algorithms wanted: 3DES(3)_000-MD5(1); flags=strict<br>
000 "niemcy":&nbsp;&nbsp; ESP algorithms loaded: 3DES(3)_000-MD5(1); flags=strict<br>
000<br>
000 #1: "forti":500 STATE_MAIN_I1 (sent MI1, expecting MR1);
EVENT_RETRANSMIT in 11s; nodpd<br>
000 #1: pending Phase 2 for "forti" replacing #0<br>
000<br>
vpn:~#<br>
<br>
configuration I received from VPN admin<br>
<br>
Our External IP:&nbsp; 81.xx.xx.66<br>
Our internal net &nbsp;&nbsp;&nbsp; : 192.168.2.0/255.255.255.0<br>
authentication pre-share<br>
Pre shared key: keyXXXXXXXX<br>
Encryption: 3des<br>
Hash: md5<br>
Lifetime:86400<br>
<br>
modified: forti.conf<br>
<br>
conn niemcy<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; type=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; tunnel<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; authby=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; secret<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; #RRT<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; left=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 78.xx.xx.20 (my external IP)<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftnexthop=&nbsp;&nbsp;&nbsp; %defaultroute<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; #SAA<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; right=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 81.xx.xx.66<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightsubnet= 192.168.2.0/24<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; esp=3des-md5<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ike=3des-md5<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyexchange=&nbsp;&nbsp;&nbsp; ike<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ikelifetime=86400<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keylife=86400<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; pfs=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; no<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; start<br>
<br>
#Disable Opportunistic Encryption<br>
include /etc/ipsec.d/examples/no_oe.conf<br>
<br>
Felipe Rasputin suggested to use:<br>
&nbsp;&nbsp;&nbsp;&nbsp; esp=3des-md5<br>
&nbsp;&nbsp;&nbsp;&nbsp; ike=3des-md5-modp1024<br>
but also did not work. <br>
<br>
Do you have any idea how to configure this ipsec-2-forti tunel?<br>
<br>
<br>
Paul Wouters pisze:
<blockquote
 id="mid_Pine_LNX_4_64_0809281052590_27658_newtla_xelerance_com"
 cite="mid:Pine.LNX.4.64.0809281052590.27658@newtla.xelerance.com"
 type="cite">
  <pre wrap="">On Sun, 28 Sep 2008, Marcin J. Kowalczyk wrote:

  </pre>
  <blockquote id="StationeryCiteGenerated_1" type="cite">
    <pre wrap=""> I'm trying to setup connection between Openswan 2.4.12 and fortigate 
VPN.  Only information I received from person who administrates Forti is:

"Remote Peer:  81.xx.xx.66
Inside-Net: 192.168.0.0/255.255.255.0
Pre shared key:
esp-3des esp-md5-hmac
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400 "
    </pre>
  </blockquote>
  <pre wrap=""><!---->
  </pre>
  <blockquote id="StationeryCiteGenerated_2" type="cite">
    <pre wrap="">conn forti
        type=           tunnel
        authby=         secret
        #RRT
        left=           78.xx.xx.20
        leftsubnet=     192.168.127.0/24
    </pre>
  </blockquote>
  <pre wrap=""><!---->
Does the other admin have this subnet defined for you?

  </pre>
  <blockquote id="StationeryCiteGenerated_3" type="cite">
    <pre wrap="">        leftnexthop=    %defaultroute
        #SAA
        right=          81.xx.xx.66
        rightsubnet=    192.168.0.0/255.255.255.0
        esp=            esp-md5-hmac
    </pre>
  </blockquote>
  <pre wrap=""><!---->
esp=3des-md5

  </pre>
  <blockquote id="StationeryCiteGenerated_4" type="cite">
    <pre wrap="">        ike=            3des-md5-hmac
    </pre>
  </blockquote>
  <pre wrap=""><!---->
ike=3des-md5

  </pre>
  <blockquote id="StationeryCiteGenerated_5" type="cite">
    <pre wrap="">        keyexchange=    ike
        pfs=            no
        auto=           start
#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf

in /etc/ipsec.d/forti.secret I've put password I received from VPN 
admin. Can anybody help me with configuration of this connection?
    </pre>
  </blockquote>
  <pre wrap=""><!---->
If this does not work, you should show the logs so we can see
the problem. Or even better, have them connect to you and show
the problem because then you receive their proposal and you can
match it.

Paul


  </pre>
</blockquote>
<br>
<br>
<pre class="moz-signature" cols="72">-- 
Pozdrawiam serdecznie
Marcin Kowalczyk

System Administrator

Call Center Inter Galactica
ul. Jana Kilinskiego 30, 50-264 Wroclaw, Poland
telefon: +48 71 722 72 91 e-mail: <a class="moz-txt-link-abbreviated" href="mailto:marcin.kowalczyk@ccig.pl">marcin.kowalczyk@ccig.pl</a> </pre>
</body>
</html>