<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">

</head>

<body text="#000066" bgcolor="#ffffff">

Hi Luca,<br>

<br>

I have compared your logs with mine and it really looks like there is

some problem with your Checkpoint configuration.<br>

My wild guess is that the your Checkpoint only accepts SecurID clients

and not authentication using certificates.<br>

Note that SecurID is Checkpoint speciality and nonstandard.<br>

You definitely need access to the Dashboard to find out (make sure

authentication via certificates is allowed and see logs).<br>

<br>

If you do not have such an access, your only chance is SSL-Extender as

there is a linux client from Checkpoint that is using SSL-Extender.<br>

<br>

Regards,<br>

Ondrej<br>

<br>

<br>

On 13.05.2010 13:44, Luca Arzeni wrote:

<blockquote

 cite="mid:AANLkTimcXt3JxvpOR9qzB1ghkodSGGJV13goyV4EjrYp@mail.gmail.com"

 type="cite">

  <pre wrap="">Hi Ondrej,

here are the answers to your questions:

  </pre>

  <blockquote type="cite">

    <pre wrap="">

As I said, it has nothing to do with the kernel so at least the IKE stage should work on your debian, too - no need to install CentOS.

    </pre>

  </blockquote>

  <pre wrap="">

You are right, but I am really hitting my head against the wall and I

was trying to reduce noise by removing any difference between my tests

and yours.

  </pre>

  <blockquote type="cite">

    <pre wrap="">

Please do:

1) plutodebug="control parsing controlmore" ,restart ipsec and send me the whole logs from the daemon start

    </pre>

  </blockquote>

  <pre wrap="">

Logs are attached to this mail

  </pre>

  <blockquote type="cite">

    <pre wrap="">

2) Launch Dashboard monitor and check for any messages here (the attempt for the IKE connection from your Debian should be listed). If not, enable logging for this connection.

    </pre>

  </blockquote>

  <pre wrap="">

Sadly, I've no access to the Checkpoint machine, so I cannot activate

dashboard monitor or logs.

  </pre>

  <blockquote type="cite">

    <pre wrap="">

3) consider installing the latest HFA for your Checkpoint firewall, mine is running HFA 4.

    </pre>

  </blockquote>

  <pre wrap="">

 The checkpoint administrator says that he has installed HFA_01 (and

he cannot install other HFA).

Some other infos:

- I've tested also with shrew VPN but I have the same problem.

 - my p12 cert cointains a ca.cert (which is the same that

secureremote retrieves during it's connection and places in its

userC.c file). This is the ca that I'm putting in the ipsec.d/cacerts

directory.

- The CP admistrator says that he is not able to extract the firewall

cert using the command:

"fwm exportcert -obj checkpoint -cert defaultCert -pem -withroot -file

checkpoint-cert.pkcs7"

instead, he was able to extract the certificates using the gui, but at

this point he sent me 2 certificates: One is what he called the

"firewall" certificate and the other is what he called the

"management" certificate.

I don't understand exactly their purpose, anyway they are trusted from

the same ca that I've extracted from my p12, so one of them shoud be

the peer certificate and the other should be of no use.

I attempted to connect at first using the "firewall" certificate, the

using the "management"certificate, but in both cases I have the same

MALFORMED_PAYLOAD error.

That's all :-(

thanks again for your help!

  </pre>

</blockquote>

<br>

</body>

</html>