Hi Ondrej,<br>I&#39;ve set up a test machine. The current configuration is:<br><br>- Linux fwclient 2.6.26-2-686 #1 SMP i686 GNU/Linux (Debian Lenny)<br>- Openswan IPsec U2.6.25/K2.6.26-2-686<br><br>I include in this message the portion of logs that shows the error. Let me know if you need other infos.<br>
<br>CONFIG:<br><br>version 2.0     # conforms to second version of ipsec.conf specification<br><br># basic configuration<br>config setup<br>        plutodebug=&quot;all&quot;<br>        # plutoopts=&quot;--perpeerlog&quot;<br>
        nat_traversal=yes<br>        #virtual_private=%v4:<a href="http://10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12">10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12</a><br>        oe=off<br>        protostack=netkey<br>
<br>## RoadWarrior to Net behind Gateway: FreeS/WAN X.509 &lt;-&gt; Check Point<br>conn openswan-checkpoint<br>        # Right side is FreeS/WAN RoadWarrior<br>        right=%defaultroute<br>        rightrsasigkey=%cert<br>
        rightcert=/etc/ipsec.d/certs/fwclient-crt.pem<br>        # Left side is Check Point<br>        left=fwserver<br>        leftsubnet=<a href="http://192.168.255.0/24">192.168.255.0/24</a> ## subnet behind the gateway<br>
        leftcert=/etc/ipsec.d/certs/fwserver-crt.pem<br>        leftrsasigkey=%cert<br>        auto=start<br><br>LOGS:<br><br>May 12 16:52:10 fwclient pluto[19602]: | inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #6<br>
May 12 16:52:10 fwclient pluto[19602]: | event added after event EVENT_PENDING_PHASE2<br>May 12 16:52:10 fwclient pluto[19602]: &quot;openswan-checkpoint&quot; #6: STATE_MAIN_I2: sent MI2, expecting MR2<br>May 12 16:52:10 fwclient pluto[19602]: | modecfg pull: noquirk policy:push not-client<br>
May 12 16:52:10 fwclient pluto[19602]: | phase 1 is done, looking for phase 2 to unpend<br>May 12 16:52:10 fwclient pluto[19602]: | * processed 1 messages from cryptographic helpers<br>May 12 16:52:10 fwclient pluto[19602]: | next event EVENT_PENDING_DDNS in 9 seconds<br>
May 12 16:52:10 fwclient pluto[19602]: | next event EVENT_PENDING_DDNS in 9 seconds<br>May 12 16:52:11 fwclient pluto[19602]: |<br>May 12 16:52:11 fwclient pluto[19602]: | *received 40 bytes from x.y.z.w:500 on eth0 (port=500)<br>
May 12 16:52:11 fwclient pluto[19602]: |   76 31 8f 3c  49 ba 7c 88  2d b7 41 57  a5 13 58 34<br>May 12 16:52:11 fwclient pluto[19602]: |   0b 10 05 00  b7 8b 29 04  00 00 00 28  00 00 00 0c<br>May 12 16:52:11 fwclient pluto[19602]: |   00 00 00 00  01 00 00 10<br>
May 12 16:52:11 fwclient pluto[19602]: | **parse ISAKMP Message:<br>May 12 16:52:11 fwclient pluto[19602]: |    initiator cookie:<br>May 12 16:52:11 fwclient pluto[19602]: |   76 31 8f 3c  49 ba 7c 88<br>May 12 16:52:11 fwclient pluto[19602]: |    responder cookie:<br>
May 12 16:52:11 fwclient pluto[19602]: |   2d b7 41 57  a5 13 58 34<br>May 12 16:52:11 fwclient pluto[19602]: |    next payload type: ISAKMP_NEXT_N<br>May 12 16:52:11 fwclient pluto[19602]: |    ISAKMP version: ISAKMP Version 1.0 (rfc2407)<br>
May 12 16:52:11 fwclient pluto[19602]: |    exchange type: ISAKMP_XCHG_INFO<br>May 12 16:52:11 fwclient pluto[19602]: |    flags: none<br>May 12 16:52:11 fwclient pluto[19602]: |    message ID:  b7 8b 29 04<br>May 12 16:52:11 fwclient pluto[19602]: |    length: 40<br>
May 12 16:52:11 fwclient pluto[19602]: |  processing version=1.0 packet with exchange type=ISAKMP_XCHG_INFO (5)<br>May 12 16:52:11 fwclient pluto[19602]: | ICOOKIE:  76 31 8f 3c  49 ba 7c 88<br>May 12 16:52:11 fwclient pluto[19602]: | RCOOKIE:  2d b7 41 57  a5 13 58 34<br>
May 12 16:52:11 fwclient pluto[19602]: | state hash entry 7<br>May 12 16:52:11 fwclient pluto[19602]: | peer and cookies match on #6, provided msgid 00000000 vs 00000000/00000000<br>May 12 16:52:11 fwclient pluto[19602]: | p15 state object #6 found, in STATE_MAIN_I2<br>
May 12 16:52:11 fwclient pluto[19602]: | processing connection openswan-checkpoint<br>May 12 16:52:11 fwclient pluto[19602]: | got payload 0x800(ISAKMP_NEXT_N) needed: 0x0 opt: 0x0<br>May 12 16:52:11 fwclient pluto[19602]: | ***parse ISAKMP Notification Payload:<br>
May 12 16:52:11 fwclient pluto[19602]: |    next payload type: ISAKMP_NEXT_NONE<br>May 12 16:52:11 fwclient pluto[19602]: |    length: 12<br>May 12 16:52:11 fwclient pluto[19602]: |    DOI: ISAKMP_DOI_ISAKMP<br>May 12 16:52:11 fwclient pluto[19602]: |    protocol ID: 1<br>
May 12 16:52:11 fwclient pluto[19602]: |    SPI size: 0<br>May 12 16:52:11 fwclient pluto[19602]: |    Notify Message Type: PAYLOAD_MALFORMED<br>May 12 16:52:11 fwclient pluto[19602]: | info:<br>May 12 16:52:11 fwclient pluto[19602]: | processing informational PAYLOAD_MALFORMED (16)<br>
May 12 16:52:11 fwclient pluto[19602]: &quot;openswan-checkpoint&quot; #6: received 1 malformed payload notifies<br>May 12 16:52:11 fwclient pluto[19602]: | complete state transition with STF_IGNORE<br>May 12 16:52:11 fwclient pluto[19602]: | * processed 0 messages from cryptographic helpers<br>
May 12 16:52:11 fwclient pluto[19602]: | next event EVENT_PENDING_DDNS in 8 seconds<br>May 12 16:52:11 fwclient pluto[19602]: | next event EVENT_PENDING_DDNS in 8 seconds<br><br>Thanks again for your help, Luca<br><br><br>
<div class="gmail_quote">On Wed, May 12, 2010 at 11:14 AM, Ondrej Valousek <span dir="ltr">&lt;<a href="mailto:webserv@s3group.cz">webserv@s3group.cz</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">



  

<div text="#000066" bgcolor="#ffffff">
Hi Luca,<br>
<br>
You definitely need to enable pluto to send more debugging messages.<br>
This way we do not even know what is it trying to do.<br>
Also, at this IKE stage is the kernel version not relevant as the VPN
negotiation is fully in charge of pluto.<br><font color="#888888">
<br>
Ondrej</font><div><div></div><div class="h5"><br>
<br>
On 11.05.2010 17:36, Luca Arzeni wrote:
<blockquote type="cite">Thanks Ondrej,<br>
you are right, I&#39;ve read so many articles that I was confused.<br>
Anyway, from your article I understand that:<br>
You are using openswan 2.6.21 on a linux kernel 2.6.18, with netkey.<br>
  <br>
I&#39;m on a Debian lenny with kernel 2.6.26-2-amd64. I was using the
debian-provided openswan 2.4.12 using netkey.<br>
  <br>
My kernel is newer than the Centos that you&#39;ve used. I downloaded the
latest openswan (2.6.25) and tested with it.<br>
  <br>
Problem is still here. Do you have any other hint? I wouldn&#39;t like to
install Centos to open this vpn...<br>
  <br>
May 11 16:33:20 gadara pluto[19323]: &quot;openswan-checkpoint&quot; #1:
initiating Main Mode<br>
May 11 16:33:20 gadara pluto[19323]: &quot;openswan-checkpoint&quot; #1: received
Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] method set to=106<br>
May 11 16:33:20 gadara pluto[19323]: &quot;openswan-checkpoint&quot; #1: enabling
possible NAT-traversal with method draft-ietf-ipsec-nat-t-ike-05<br>
May 11 16:33:20 gadara pluto[19323]: &quot;openswan-checkpoint&quot; #1:
transition from state STATE_MAIN_I1 to state STATE_MAIN_I2<br>
May 11 16:33:20 gadara pluto[19323]: &quot;openswan-checkpoint&quot; #1:
STATE_MAIN_I2: sent MI2, expecting MR2<br>
May 11 16:33:20 gadara pluto[19323]: &quot;openswan-checkpoint&quot; #1: received
1 malformed payload notifies<br>
May 11 16:34:10 gadara pluto[19323]: shutting down<br>
  <br>
Thanks, Luca<br>
 <br>
  <br>
  <div class="gmail_quote">On Tue, May 11, 2010 at 1:20 PM, Ondrej
Valousek <span dir="ltr">&lt;<a href="mailto:webserv@s3group.cz" target="_blank">webserv@s3group.cz</a>&gt;</span>
wrote:<br>
  <blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Hi
Luca,<br>
    <br>
Make sure you read the article carefully - it contains answers to all
your questions :-)<br>
I have made this article as it was the way which worked for me.<br>
    <br>
Ondrej
    <div><br>
    <br>
    <br>
On 11.05.2010 12:26, Luca Arzeni wrote:<br>
    </div>
    <blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
      <div>Thanks Ondrej,<br>
I&#39;ve already followed that howto, but it fails. It refers to openswan
in the header, but in the logs you can see that it&#39;s really a freeswan.<br>
      <br>
Can you confirm that you are using openswan?<br>
What are your openswan and kernel version?<br>
Are you using netkey or klips for nat traversal?<br>
      <br>
My guess is that this could be a netkey issue...<br>
Thanks, Luca<br>
      <br>
      </div>
      <div>
      <div>On Tue, May 11, 2010 at 8:36 AM, Ondrej Valousek
&lt;<a href="mailto:webserv@s3group.cz" target="_blank">webserv@s3group.cz</a> &lt;mailto:<a href="mailto:webserv@s3group.cz" target="_blank">webserv@s3group.cz</a>&gt;&gt;
wrote:<br>
      <br>
   It works fine for me.<br>
   Try this:<br>
   <a href="https://gsoc.xelerance.com/projects/openswan/wiki/Connecting_to_the_CheckPoint_VPN-1_NG65_firewall" target="_blank">https://gsoc.xelerance.com/projects/openswan/wiki/Connecting_to_the_CheckPoint_VPN-1_NG65_firewall</a><br>

      <br>
   Ondrej<br>
      <br>
   On 10.05.2010 17:22, Luca Arzeni wrote:<br>
   &gt; Hi there,<br>
   &gt; I&#39;m trying to connect a debian lenny client (Linux
2.6.26-2-amd64 #1<br>
   &gt; SMP x86_64 GNU/Linux) to a Checkpoint Firewall 1 (NGx R65).<br>
   &gt; I&#39;m using openswan 2.4.12 (debian lenny revision is openswan<br>
   &gt; 2.4.12+dfsg-1.3+lenny2)<br>
   &gt; I&#39;m using netkey internal kernel NAT-T, not klips.<br>
   &gt;<br>
   &gt; I can connect using the proprietary checkpoint client
application<br>
   &gt; (SecureRemote) without problems.<br>
   &gt; SecureRemote works fine under Windows XP and I was able to
setup a<br>
   &gt; connection also from a RedHat73 box using SecureRemote for
linux, so<br>
   &gt; the issue is not in the devices between my client and the
firewall.<br>
   &gt;<br>
   &gt; I followed various how to, but in the and I&#39;m stuck at this
point:<br>
   &gt;<br>
   &gt; May 10 16:49:14 gadara pluto[9253]: | p15 state object #1
found, in<br>
   &gt; STATE_MAIN_I2<br>
   &gt; May 10 16:49:14 gadara pluto[9253]: | processing connection<br>
   checkpoint-vpn<br>
   &gt; May 10 16:49:14 gadara pluto[9253]: | processing informational<br>
   &gt; PAYLOAD_MALFORMED (16)<br>
   &gt; May 10 16:49:14 gadara pluto[9253]: &quot;checkpoint-vpn&quot; #1:
received 1<br>
   &gt; malformed payload notifies<br>
   &gt; May 10 16:49:14 gadara pluto[9253]: | complete state transition
with<br>
   &gt; STF_IGNORE<br>
   &gt; May 10 16:49:14 gadara pluto[9253]: | next event
EVENT_RETRANSMIT in<br>
   &gt; 10 seconds for #1<br>
   &gt;<br>
   &gt; Is there anyone successfull connecting a Checkpoint R65 to an<br>
   openswan<br>
   &gt; client?<br>
   &gt; Connection data and log follows... any hint will be appreciated!<br>
   &gt;<br>
   &gt; Thanks, Luca<br>
   &gt;<br>
   &gt; ############################<br>
   &gt; ### this is the /etc/ipsec.conf ###<br>
   &gt; # basic configuration<br>
   &gt; config setup<br>
   &gt;         plutodebug=control<br>
   &gt;         nat_traversal=yes<br>
   &gt;<br>
   &gt; conn checkpoint-vpn<br>
   &gt;         # left is my lenny client<br>
   &gt;         left=%defaultroute<br>
   &gt;         leftcert=/etc/ipsec.d/certs/client-cert.pem<br>
   &gt;         leftrsasigkey=%cert<br>
   &gt;         # right is the checkpoint firewall<br>
   &gt;         right=checkpoint-fw<br>
   &gt;         rightsubnet=<a href="http://192.168.255.0/24" target="_blank">192.168.255.0/24</a>
&lt;<a href="http://192.168.255.0/24" target="_blank">http://192.168.255.0/24</a>&gt;<br>
   &lt;<a href="http://192.168.255.0/24" target="_blank">http://192.168.255.0/24</a>&gt;<br>
   &gt;         rightcert=/etc/ipsec.d/certs/checkpoint-cert.pem<br>
   &gt;         rightrsasigkey=%cert<br>
   &gt;         auto=start<br>
   &gt;<br>
   &gt; #Disable Opportunistic Encryption<br>
   &gt; include /etc/ipsec.d/examples/no_oe.conf<br>
   &gt;<br>
   &gt; #################################<br>
   &gt; ### this is the /var/log/syslog output ###<br>
   &gt; May 10 16:49:13 gadara ipsec_setup: NETKEY on eth0<br>
   &gt; <a href="http://192.168.144.162/255.255.255.0" target="_blank">192.168.144.162/255.255.255.0</a><br>
   &lt;<a href="http://192.168.144.162/255.255.255.0" target="_blank">http://192.168.144.162/255.255.255.0</a>&gt;<br>
   &lt;<a href="http://192.168.144.162/255.255.255.0" target="_blank">http://192.168.144.162/255.255.255.0</a>&gt;<br>
   &gt; broadcast 192.168.144.255<br>
   &gt; May 10 16:49:13 gadara ipsec_setup: ...Openswan IPsec started<br>
   &gt; May 10 16:49:13 gadara ipsec_setup: Starting Openswan IPsec<br>
   &gt; U2.4.12/K2.6.26-2-amd64...<br>
   &gt; May 10 16:49:14 gadara ipsec__plutorun: 104 &quot;checkpoint-vpn&quot; #1:<br>
   &gt; STATE_MAIN_I1: initiate<br>
   &gt; May 10 16:49:14 gadara ipsec__plutorun: ...could not start conn<br>
   &gt; &quot;checkpoint-vpn&quot;<br>
   &gt;<br>
   &gt; ###################################<br>
   &gt; ### this is the /var/log/auth.log output ###<br>
   &gt;<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: &quot;checkpoint-vpn&quot; #3:
transition<br>
   &gt; from state STATE_MAIN_I1 to state STATE_MAIN_I2<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: | sending reply packet to<br>
   &gt; x.y.z.w:500 (from port=500)<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: | sending 292 bytes for<br>
   &gt; STATE_MAIN_I1 through eth0:500 to x.y.z.w:500:<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: | inserting event<br>
   &gt; EVENT_RETRANSMIT, timeout in 10 seconds for #3<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: &quot;checkpoint-vpn&quot; #3:<br>
   &gt; STATE_MAIN_I2: sent MI2, expecting MR2<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: | modecfg pull: noquirk<br>
   &gt; policy:push not-client<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: | phase 1 is done, looking
for<br>
   &gt; phase 1 to unpend<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: | next event
EVENT_RETRANSMIT in<br>
   &gt; 10 seconds for #3<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: |<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: | *received 40 bytes from<br>
   &gt; x.y.z.w:500 on eth0 (port=500)<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: |  processing packet with<br>
   exchange<br>
   &gt; type=ISAKMP_XCHG_INFO (5)<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: | ICOOKIE:  62 d9 1d c3  7c<br>
   2c b2 a9<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: | RCOOKIE:  fd 0b ef 4b  36<br>
   d6 7d 9b<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: | peer:  x.y.z.w<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: | state hash entry 29<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: | peer and cookies match on
#3,<br>
   &gt; provided msgid 00000000 vs 00000000/00000000<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: | p15 state object #3
found, in<br>
   &gt; STATE_MAIN_I2<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: | processing connection<br>
   checkpoint-vpn<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: | processing informational<br>
   &gt; PAYLOAD_MALFORMED (16)<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: &quot;checkpoint-vpn&quot; #3:
received 1<br>
   &gt; malformed payload notifies<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: | complete state transition
with<br>
   &gt; STF_IGNORE<br>
   &gt; May 10 17:17:07 gadara pluto[9858]: | next event
EVENT_RETRANSMIT in<br>
   &gt; 10 seconds for #3<br>
   &gt;<br>
   &gt;<br>
   &gt; === Start-of Internet E-mail Confidentiality Footer ===<br>
   &gt;<br>
   &gt; L&#39;uso non autorizzato di questo messaggio o dei suoi allegati e&#39;<br>
   &gt; vietato e potrebbe costituire reato.<br>
   &gt; Se ha ricevuto per errore questo messaggio, La prego di
informarmi e<br>
   &gt; di distruggerlo immediatamente coi suoi allegati. Le
dichiarazioni<br>
   &gt; contenute in questo messaggio o nei suoi allegati non impegnano
Luca<br>
   &gt; Arzeni nei confronti del destinatario o di terzi. Luca Arzeni
non si<br>
   &gt; assume alcuna responsabilita&#39; per eventuali intercettazioni,<br>
   modifiche<br>
   &gt; o danneggiamenti del presente messaggio.<br>
   &gt;<br>
   &gt;<br>
   &gt; _______________________________________________<br>
      </div>
      </div>
   &gt; <a href="mailto:Users@openswan.org" target="_blank">Users@openswan.org</a> &lt;mailto:<a href="mailto:Users@openswan.org" target="_blank">Users@openswan.org</a>&gt;
      <div><br>
   &gt; <a href="http://lists.openswan.org/mailman/listinfo/users" target="_blank">http://lists.openswan.org/mailman/listinfo/users</a><br>
   &gt; Building and Integrating Virtual Private Networks with Openswan:<br>
   &gt;<br>
   <a href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155" target="_blank">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a><br>
   &gt;<br>
      <br>
   _______________________________________________<br>
      </div>
   <a href="mailto:Users@openswan.org" target="_blank">Users@openswan.org</a> &lt;mailto:<a href="mailto:Users@openswan.org" target="_blank">Users@openswan.org</a>&gt;
      <div><br>
   <a href="http://lists.openswan.org/mailman/listinfo/users" target="_blank">http://lists.openswan.org/mailman/listinfo/users</a><br>
   Building and Integrating Virtual Private Networks with Openswan:<br>
   <a href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155" target="_blank">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a><br>
      <br>
      <br>
      </div>
    </blockquote>
    <br>
  </blockquote>
  </div>
  <br>
</blockquote>
<br>
</div></div></div>

</blockquote></div><br>