<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
    <title></title>
  </head>
  <body text="#000000" bgcolor="#ffffff">
    On 03/27/2011 05:36 PM, Uli Joergens wrote:
    <blockquote
      cite="mid:92164DBB-99A6-4E0F-8379-1208CF63DD2B@wanadoo.fr"
      type="cite">
      <div>
        <blockquote type="cite" style="font-size: medium;"><span
            class="Apple-style-span" style="font-family: Times;
            font-size: medium;">
            <pre>On 03/27/2011 04:06 AM, Dan Deming wrote:
><i> Hello,
</i>><i>
</i>><i> I'm trying to get a strongswan VPN set up so I can connect my iPhone
</i>><i> to my Ubuntu Lucid Lynx desktop, but I can't seem to get it
</i>><i> working and would appreciate any help anyone can give me.
</i>><i>
</i>><i> I feel like I'm close, but networking is not one of my
</i>><i> strong suits, so the whole leftnexthop, rightprotoport
</i>><i> thing is pretty confusing to me.
</i>><i>
</i>><i> I've been generally following the directions on these 3
</i>><i> pages:
</i>><i>
</i>><i> <a moz-do-not-send="true" href="http://nielspeen.com/blog/2009/04/linux-l2tpipsec-with-iphone-and-mac-osx-clients/">http://nielspeen.com/blog/2009/04/linux-l2tpipsec-with-iphone-and-mac-osx-clients/</a>
</i>><i> <a moz-do-not-send="true" href="https://lists.strongswan.org/pipermail/users/2009-March/003291.html">https://lists.strongswan.org/pipermail/users/2009-March/003291.html</a>
</i>><i> <a moz-do-not-send="true" href="http://rootmanager.com/ubuntu-ipsec-l2tp-windows-domain-auth/setting-up-openswan-xl2tpd-with-native-windows-clients.html">http://rootmanager.com/ubuntu-ipsec-l2tp-windows-domain-auth/setting-up-openswan-xl2tpd-with-native-windows-clients.html</a>
</i>><i>
</i>><i> Currently, I'm getting the following error:
</i>><i>
</i>><i> cannot respond to IPsec SA request because no connection is known for 
</i>><i> 53.74.66.108/32===192.168.1.10:17/%any...192.168.1.1[192.168.1.12]:17/%any===<a moz-do-not-send="true" href="tel:192.168.1.12/32" x-apple-data-detectors="true">192.168.1.12/32</a> 
</i>><i> <<a moz-do-not-send="true" href="http://53.74.66.108/32===192.168.1.10:17/%any...192.168.1.1[192.168.1.12]:17/%any===192.168.1.12/32">http://53.74.66.108/32===192.168.1.10:17/%any...192.168.1.1[192.168.1.12]:17/%any===192.168.1.12/32</a>>
</i>><i>
</i>><i> Here are the stats on what I'm running:
</i>><i>
</i>><i> Ubuntu Desktop:
</i>><i>  * Internal IP address is 192.168.1.10
</i>><i>  * Running custom compiled version of strongswan-4.3.2 with 
</i>><i> --enable-nat-transport option enabled
</i>><i>  * Running xl2tpd
</i>><i>  * Both were set up by following 
</i>><i> <a moz-do-not-send="true" href="http://nielspeen.com/blog/2009/04/linux-l2tpipsec-with-iphone-and-mac-osx-clients/">http://nielspeen.com/blog/2009/04/linux-l2tpipsec-with-iphone-and-mac-osx-clients/</a>
</i>><i>  * Firewall was off while I was trying to get this working
</i>><i>
</i>><i> Linksys E3000 router:
</i>><i>  * Internal IP address is 192.168.1.1
</i>><i>  * Comcast IP address is 53.74.66.108 (not my actual IP, but you get 
</i>><i> the idea)
</i>><i>  * NAT Enabled
</i>><i>  * VPN Passthrough Enabled
</i>><i>  * Ports 4500 and 1701 forwarded to 192.168.1.10
</i>><i>
</i>><i> iPhone 3GS:
</i>><i>  * I guess the IP for this device is 166.121.15.14? (Again, I changed 
</i>><i> it in the log below)
</i>><i>
</i>><i> Here is my ipsec.conf:
</i>><i>
</i>><i> config setup
</i>><i>     nat_traversal=yes
</i>><i>     charonstart=yes
</i>><i>     plutostart=yes
</i>><i>
</i>><i> conn L2TP
</i>><i>         authby=psk
</i>><i>         pfs=no
</i>><i>         rekey=no
</i>><i>         type=tunnel
</i>><i>         esp=aes128-sha1
</i>><i>         ike=aes128-sha-modp1024
</i>><i>         left=<a moz-do-not-send="true" href="tel:192.168.1.10" x-apple-data-detectors="true">192.168.1.10</a>
</i>><i>         leftnexthop=%defaultroute
</i>><i>         #leftprotoport=17/%any
</i>><i>         leftprotoport=17/1701
</i>><i>         right=%any
</i>><i>         rightprotoport=17/%any
</i>><i>         #rightsubnetwithin=<a moz-do-not-send="true" href="tel:10.0.0.0/8" x-apple-data-detectors="true">10.0.0.0/8</a> <<a moz-do-not-send="true" href="http://10.0.0.0/8">http://10.0.0.0/8</a>>
</i>><i>         auto=add
</i>><i>
</i>><i> And here are the errors I see:
</i>><i>
</i>><i> Mar 26 15:41:11 ubuntu-desktop pluto[8372]: added connection 
</i>><i> description "L2TP"
</i>><i> Mar 26 15:41:51 ubuntu-desktop pluto[8372]: packet from 
</i>><i> 166.121.15.14:15873 <<a moz-do-not-send="true" href="http://166.121.15.14:15873">http://166.121.15.14:15873</a>>: received Vendor ID 
</i>><i> payload [RFC 3947]
</i>><i> Mar 26 15:41:51 ubuntu-desktop pluto[8372]: packet from 
</i>><i> 166.121.15.14:15873 <<a moz-do-not-send="true" href="http://166.121.15.14:15873">http://166.121.15.14:15873</a>>: ignoring Vendor ID 
</i>><i> payload [4df37928e9fc4fd1b3262170d515c662]
</i>><i> Mar 26 15:41:51 ubuntu-desktop pluto[8372]: packet from 
</i>><i> 166.121.15.14:15873 <<a moz-do-not-send="true" href="http://166.121.15.14:15873">http://166.121.15.14:15873</a>>: ignoring Vendor ID 
</i>><i> payload [8f8d83826d246b6fc7a8a6a428c11de8]
</i>><i> Mar 26 15:41:51 ubuntu-desktop pluto[8372]: packet from 
</i>><i> 166.121.15.14:15873 <<a moz-do-not-send="true" href="http://166.121.15.14:15873">http://166.121.15.14:15873</a>>: ignoring Vendor ID 
</i>><i> payload [439b59f8ba676c4c7737ae22eab8f582]
</i>><i> Mar 26 15:41:51 ubuntu-desktop pluto[8372]: packet from 
</i>><i> 166.121.15.14:15873 <<a moz-do-not-send="true" href="http://166.121.15.14:15873">http://166.121.15.14:15873</a>>: ignoring Vendor ID 
</i>><i> payload [4d1e0e136deafa34c4f3ea9f02ec7285]
</i>><i> Mar 26 15:41:51 ubuntu-desktop pluto[8372]: packet from 
</i>><i> 166.121.15.14:15873 <<a moz-do-not-send="true" href="http://166.121.15.14:15873">http://166.121.15.14:15873</a>>: ignoring Vendor ID 
</i>><i> payload [80d0bb3def54565ee84645d4c85ce3ee]
</i>><i> Mar 26 15:41:51 ubuntu-desktop pluto[8372]: packet from 
</i>><i> 166.121.15.14:15873 <<a moz-do-not-send="true" href="http://166.121.15.14:15873">http://166.121.15.14:15873</a>>: ignoring Vendor ID 
</i>><i> payload [9909b64eed937c6573de52ace952fa6b]
</i>><i> Mar 26 15:41:51 ubuntu-desktop pluto[8372]: packet from 
</i>><i> 166.121.15.14:15873 <<a moz-do-not-send="true" href="http://166.121.15.14:15873">http://166.121.15.14:15873</a>>: ignoring Vendor ID 
</i>><i> payload [draft-ietf-ipsec-nat-t-ike-03]
</i>><i> Mar 26 15:41:51 ubuntu-desktop pluto[8372]: packet from 
</i>><i> 166.121.15.14:15873 <<a moz-do-not-send="true" href="http://166.121.15.14:15873">http://166.121.15.14:15873</a>>: ignoring Vendor ID 
</i>><i> payload [draft-ietf-ipsec-nat-t-ike-02]
</i>><i> Mar 26 15:41:51 ubuntu-desktop pluto[8372]: packet from 
</i>><i> 166.121.15.14:15873 <<a moz-do-not-send="true" href="http://166.121.15.14:15873">http://166.121.15.14:15873</a>>: ignoring Vendor ID 
</i>><i> payload [draft-ietf-ipsec-nat-t-ike-02_n]
</i>><i> Mar 26 15:41:51 ubuntu-desktop pluto[8372]: packet from 
</i>><i> 166.121.15.14:15873 <<a moz-do-not-send="true" href="http://166.121.15.14:15873">http://166.121.15.14:15873</a>>: received Vendor ID 
</i>><i> payload [Dead Peer Detection]
</i>><i> Mar 26 15:41:51 ubuntu-desktop pluto[8372]: "L2TP"[1] 
</i>><i> 166.121.15.14:15873 <<a moz-do-not-send="true" href="http://166.121.15.14:15873">http://166.121.15.14:15873</a>> #1: responding to 
</i>><i> Main Mode from unknown peer 166.121.15.14:15873 
</i>><i> <<a moz-do-not-send="true" href="http://166.121.15.14:15873">http://166.121.15.14:15873</a>>
</i>><i> Mar 26 15:41:52 ubuntu-desktop pluto[8372]: "L2TP"[1] 
</i>><i> 166.121.15.14:15873 <<a moz-do-not-send="true" href="http://166.121.15.14:15873">http://166.121.15.14:15873</a>> #1: NAT-Traversal: 
</i>><i> Result using RFC 3947: both are NATed
</i>><i> Mar 26 15:41:52 ubuntu-desktop pluto[8372]: "L2TP"[1] 
</i>><i> 166.121.15.14:15873 <<a moz-do-not-send="true" href="http://166.121.15.14:15873">http://166.121.15.14:15873</a>> #1: ignoring 
</i>><i> informational payload, type IPSEC_INITIAL_CONTACT
</i>><i> Mar 26 15:41:52 ubuntu-desktop pluto[8372]: "L2TP"[1] 
</i>><i> 166.121.15.14:15873 <<a moz-do-not-send="true" href="http://166.121.15.14:15873">http://166.121.15.14:15873</a>> #1: Peer ID is 
</i>><i> ID_IPV4_ADDR: '<a moz-do-not-send="true" href="tel:10.70.21.33" x-apple-data-detectors="true">10.70.21.33</a>'
</i>><i> Mar 26 15:41:52 ubuntu-desktop pluto[8372]: "L2TP"[2] 
</i>><i> 166.121.15.14:15873 <<a moz-do-not-send="true" href="http://166.121.15.14:15873">http://166.121.15.14:15873</a>> #1: deleting 
</i>><i> connection "L2TP" instance with peer 166.121.15.14 {isakmp=#0/ipsec=#0}
</i>><i> Mar 26 15:41:52 ubuntu-desktop pluto[8372]: | NAT-T: new mapping 
</i>><i> 166.121.15.14:<a moz-do-not-send="true" href="tel:15873/15893" x-apple-data-detectors="true">15873/15893</a> <<a moz-do-not-send="true" href="http://166.121.15.14:15873/15893">http://166.121.15.14:15873/15893</a>>)
</i>><i> Mar 26 15:41:52 ubuntu-desktop pluto[8372]: "L2TP"[2] 
</i>><i> 166.121.15.14:15893 <<a moz-do-not-send="true" href="http://166.121.15.14:15893">http://166.121.15.14:15893</a>> #1: sent MR3, ISAKMP 
</i>><i> SA established
</i>><i> Mar 26 15:41:53 ubuntu-desktop pluto[8372]: "L2TP"[2] 
</i>><i> 166.121.15.14:15893 <<a moz-do-not-send="true" href="http://166.121.15.14:15893">http://166.121.15.14:15893</a>> #1: cannot respond to 
</i>><i> IPsec SA request because no connection is known for 
</i>><i> 53.74.66.108/32===192.168.1.10:4500:17/%any...166.121.15.14:15893[10.70.21.33]:17/%any===<a moz-do-not-send="true" href="tel:10.70.21.33/32" x-apple-data-detectors="true">10.70.21.33/32</a> 
</i>><i> <<a moz-do-not-send="true" href="http://53.74.66.108/32===192.168.1.10:4500:17/%any...166.121.15.14:15893[10.70.21.33]:17/%any===10.70.21.33/32">http://53.74.66.108/32===192.168.1.10:4500:17/%any...166.121.15.14:15893[10.70.21.33]:17/%any===10.70.21.33/32</a>>
</i>><i> Mar 26 15:41:53 ubuntu-desktop pluto[8372]: "L2TP"[2] 
</i>><i> 166.121.15.14:15893 <<a moz-do-not-send="true" href="http://166.121.15.14:15893">http://166.121.15.14:15893</a>> #1: sending encrypted 
</i>><i> notification INVALID_ID_INFORMATION to 166.121.15.14:15893 
</i>><i> <<a moz-do-not-send="true" href="http://166.121.15.14:15893">http://166.121.15.14:15893</a>>
</i>><i> Mar 26 15:41:56 ubuntu-desktop pluto[8372]: "L2TP"[2] 
</i>><i> 166.121.15.14:15893 <<a moz-do-not-send="true" href="http://166.121.15.14:15893">http://166.121.15.14:15893</a>> #1: Quick Mode I1 
</i>><i> message is unacceptable because it uses a previously used Message ID 
</i>><i> 0xab4fb5b4 (perhaps this is a duplicated packet)
</i>><i> Mar 26 15:41:56 ubuntu-desktop pluto[8372]: "L2TP"[2] 
</i>><i> 166.121.15.14:15893 <<a moz-do-not-send="true" href="http://166.121.15.14:15893">http://166.121.15.14:15893</a>> #1: sending encrypted 
</i>><i> notification INVALID_MESSAGE_ID to 166.121.15.14:15893 
</i>><i> <<a moz-do-not-send="true" href="http://166.121.15.14:15893">http://166.121.15.14:15893</a>>
</i>><i> Mar 26 15:41:59 ubuntu-desktop pluto[8372]: "L2TP"[2] 
</i>><i> 166.121.15.14:15893 <<a moz-do-not-send="true" href="http://166.121.15.14:15893">http://166.121.15.14:15893</a>> #1: Quick Mode I1 
</i>><i> message is unacceptable because it uses a previously used Message ID 
</i>><i> 0xab4fb5b4 (perhaps this is a duplicated packet)
</i>><i> Mar 26 15:41:59 ubuntu-desktop pluto[8372]: "L2TP"[2] 
</i>><i> 166.121.15.14:15893 <<a moz-do-not-send="true" href="http://166.121.15.14:15893">http://166.121.15.14:15893</a>> #1: sending encrypted 
</i>><i> notification INVALID_MESSAGE_ID to 166.121.15.14:15893 
</i>><i> <<a moz-do-not-send="true" href="http://166.121.15.14:15893">http://166.121.15.14:15893</a>>
</i>><i> Mar 26 15:42:03 ubuntu-desktop pluto[8372]: "L2TP"[2] 
</i>><i> 166.121.15.14:15893 <<a moz-do-not-send="true" href="http://166.121.15.14:15893">http://166.121.15.14:15893</a>> #1: Quick Mode I1 
</i>><i> message is unacceptable because it uses a previously used Message ID 
</i>><i> Mar 26 Mar 26 15:42:05 ubuntu-desktop pluto[8372]: ERROR: asynchronous 
</i>><i> network error report on eth0 for message to 166.121.15.14 port 15893, 
</i>><i> complainant 166.121.15.14 <<a moz-do-not-send="true" href="http://166.121.15.14">http://166.121.15.14</a>>: Connection refused 
</i>><i> [errno 111, origin ICMP type 3 code 3 (not authenticated)]
</i>><i>
</i>><i>
</i>><i> _______________________________________________
</i>><i> Users mailing list
</i>><i> <a moz-do-not-send="true" href="https://lists.strongswan.org/mailman/listinfo/users">Users at </a><a moz-do-not-send="true" href="http://lists.strongswan.org">lists.strongswan.org</a>
</i>><i> <a moz-do-not-send="true" href="https://lists.strongswan.org/mailman/listinfo/users">https://lists.strongswan.org/mailman/listinfo/users</a>
</i>Hi Dan,

It looks like your connection cannot be matched right. I'm a newby so 
may advices may be misleading, but you can try a two more configuration 
for your ipsec.conf ( one at a time)

ipsec.conf of openswan/debian:

config setup
        nat_traversal=yes
        charonstart=yes
        plutostart=yes

conn L2TP-PSK-NAT-OSX
         authby=secret
         forceencaps=yes
         pfs=no
         auto=add
         keyingtries=3
         dpdtimeout=60
         dpdaction=clear
         rekey=no
         left=%defaultroute
         leftprotoport=17/1701
         right=%any
         rightprotoport=17/%any
         rightsubnet=vhost:%priv,%no

or

conn %default
        nat_traversal=yes
        charonstart=yes
        plutostart=yes
         forceencaps=yes
         dpddelay=10
         dpdtimeout=60
         dpdaction=clear
         auto=add

conn L2TP-PSK-NAT
          rightsubnet=vhost:%priv
          also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
          authby=secret
          pfs=no
          auto=add
          keyingtries=3
          rekey=no
          ikelifetime=8h
          keylife=1h
          type=transport
          left=<a moz-do-not-send="true" href="tel:192.168.1.10" x-apple-data-detectors="true">192.168.1.10</a>
         leftprotoport=17/1701
          leftnexthop=<a moz-do-not-send="true" href="tel:53.74.66.108" x-apple-data-detectors="true">53.74.66.108</a> ( or whatever pub IP you have)
          rightnexthop=%defaultroute
          right=%any
          rightprotoport=17/%any

if you get any errors for some of the options , just comment them.
make sure that xl2tpd is running and listening on port 1701, and ipsec(pluto or charon I'm not shure) are listenning on port 500,4500,
you can check with #netstat -lpna
and if still is not working paste #tcpdump proto UDP , and the same output log that you include in fur firs mail

You better disable port forward 1701 on your router, only VPN pass-trough and if does not work correctly then enable forward UDP 500, 4500 to
192.168.1.10,

Also #iptables -L will be useful but not necessary .

Recently I had problems with IPhone connecting to Ubuntu box, second time, because tunnel cannot be disconnected, but you are not there yet ;) I sow fix for that in strongswan 4.5.1.


Regards
Martin





-------------- next part --------------
An HTML attachment was scrubbed...
URL: <a moz-do-not-send="true" href="http://lists.strongswan.org/pipermail/users/attachments/20110328/18cac209/attachment-0001.html">http://lists.strongswan.org/pipermail/users/attachments/20110328/18cac209/attachment-0001.html</a> 
</pre>
          </span></blockquote>
        <div style="font-size: medium;"><span class="Apple-style-span"
            style="font-family: Times; font-size: medium;">
            <pre>Hi, </pre>
            <pre>I tried the very same with my Ipad and I hat the wall, the NAT firewall, to be more precise.</pre>
            <pre>My settings worked well via WLAN even into a NATed VM but as soon as I tried to connect from the outside I ran into the same error.</pre>
            <pre>The problem sems to be caused by the fact that the IPAD is NATed as well with a dynamic IP adrees. Two NATed dynamic IP addresses seems to be more than strongswan can handle.</pre>
            <pre>There's been another posting on that this month asking whether this is a bug or a feature. It's a pity that it doesn't work because I would love to be able to access my home network with my Ipad in a safer way.</pre>
            <pre>I hope I didn't discourage you, please keep trying if you have the time and energy. I'd be happy to know if there is a solution to that.</pre>
            <pre>Somewhere I read that Openswan may do the trick. Did you try that one?</pre>
            <pre>Cheers</pre>
            <pre>Uli</pre>
          </span></div>
      </div>
      <pre wrap="">
<fieldset class="mimeAttachmentHeader"></fieldset>
_______________________________________________
Users mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Users@lists.strongswan.org">Users@lists.strongswan.org</a>
<a class="moz-txt-link-freetext" href="https://lists.strongswan.org/mailman/listinfo/users">https://lists.strongswan.org/mailman/listinfo/users</a></pre>
    </blockquote>
    Hi Uli, <br>
    I'm not happy to hear that you did not have succeed with connection
    your I dev. behind two NATs...<br>
    <br>
    But if for amazon EC2 instance we can say that is behind NAT you
    have private IP and Elastic IP (real one) then testing Iphone
    connected at home behind 2nd NAT router ( running IPfire for NAT and
    firewall without any port forwarding) I got it working with
    StrongSwan and openswan, but the problem was after that. After first
    disconnection of first connection, then the strongswan continuing
    sending keep-alive, because Iphone (l2tp/ipsec) does not send
    disconnect package to server ( dpd does not help) but I sow that it
    was fixed as I already mentioned, but still did not have time to
    compile and try the fixed version...
    <blockquote type="cite"><a
        href="http://wiki.strongswan.org/issues/119">http://wiki.strongswan.org/issues/119</a></blockquote>
    <br>
    Regards,<br>
    Martin<br>
  </body>
</html>