<div dir="ltr">Thanks Noel but still no joy, I'm pretty sure that the rest of the l2tp is fine because it works with a shred secret but the certificates for some reason are still off the current ipsec.conf looks like this<br><div>







<p class="p1">keyexchange=ikev1</p>
<p class="p1">    authby=rsasig</p>
<p class="p1">    rekey=yes</p>
<p class="p1">    keyingtries=2</p>
<p class="p1">    leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></p>
<p class="p1">    leftca="CN=Pertino Dev Root CA G1, O=Pertino, C=US"</p>
<p class="p1">    leftcert=server.pem</p>
<p class="p1">    leftprotoport="17/1701"</p>
<p class="p1">    right=%any</p>
<p class="p1">    rightid=%any</p>
<p class="p1">    rightprotoport="17/1701"</p>
<p class="p1">    type="transport"</p>
<p class="p1">    auto=add</p><p class="p1">The connection fails with this message:</p><p class="p1">IKE_SA chromebook[1] state change: CONNECTING => ESTABLISHED</p><p class="p1">09[IKE] scheduling reauthentication in 13531s</p><p class="p1">09[IKE] maximum IKE_SA lifetime 14071s</p><p class="p1">09[IKE] sending end entity cert "CN=<a href="http://do-c6176704.san-francisco-1.pertinoipsec.dev.pertino.com">do-c6176704.san-francisco-1.pertinoipsec.dev.pertino.com</a>, OU=DEV, O=<a href="http://pertino.com">pertino.com</a>, C=US"</p><p class="p1">09[IKE] sending issuer cert "CN=Pertino Dev Issuing CA G1, O=Pertino, C=US"</p><p class="p1">09[IKE] sending issuer cert "CN=Pertino Dev Intermediate CA G1, O=Pertino, C=US"</p><p class="p1">09[ENC] generating ID_PROT response 0 [ ID CERT CERT CERT SIG ]</p><p class="p1">09[NET] sending packet: from 162.243.137.92[4500] to 50.204.245.210[4500] (2092 bytes)</p><p class="p1">03[NET] sending packet: from 162.243.137.92[4500] to 50.204.245.210[4500]</p><p class="p1">02[NET] received packet: from 50.204.245.210[4500] to 162.243.137.92[4500]</p><p class="p1">02[NET] waiting for data on sockets</p><p class="p1">11[NET] received packet: from 50.204.245.210[4500] to 162.243.137.92[4500] (68 bytes)</p><p class="p1">11[ENC] invalid HASH_V1 payload length, decryption failed?</p><p class="p1">11[ENC] could not decrypt payloads</p><p class="p1">11[IKE] message parsing failed</p><p class="p1">11[IKE] ignore malformed INFORMATIONAL request</p><p class="p1">11[IKE] INFORMATIONAL_V1 request with message ID 2808853053 processing failed</p><p class="p1">02[NET] received packet: from 50.204.245.210[4500] to 162.243.137.92[4500]</p><p class="p1">02[NET] waiting for data on sockets</p><p class="p1">12[NET] received packet: from 50.204.245.210[4500] to 162.243.137.92[4500] (1092 bytes)</p><p class="p1">12[IKE] received retransmit of request with ID 0, retransmitting response</p><p class="p1">12[NET] sending packet: from 162.243.137.92[4500] to 50.204.245.210[4500] (2092 bytes)</p><p class="p1">03[NET] sending packet: from 162.243.137.92[4500] to 50.204.245.210[4500]</p><p class="p1">02[NET] received packet: from 50.204.245.210[4500] to 162.243.137.92[4500]</p><p class="p1">02[NET] waiting for data on sockets</p><p class="p1">13[NET] received packet: from 50.204.245.210[4500] to 162.243.137.92[4500] (68 bytes)</p><p class="p1">13[ENC] invalid HASH_V1 payload length, decryption failed?</p><p class="p1">13[ENC] could not decrypt payloads</p><p class="p1">13[IKE] message parsing failed</p><p class="p1">




































</p><p class="p1">13[IKE] ignore malformed INFORMATIONAL request</p></div></div><br><div class="gmail_quote">On Wed Feb 11 2015 at 10:29:31 AM Noel Kuntze <<a href="mailto:noel@familie-kuntze.de">noel@familie-kuntze.de</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA256<br>
<br>
Hello Ilan,<br>
<br>
You are looking at a L2TP/IPsec configuration with certificate authentication and transport mode.<br>
The following config will be compatible:<br>
<br>
conn chromiumos<br>
        ike="3des-sha1-modp1024"<br>
        esp="aes128-sha1,3des-sha1,<u></u>aes128-md5,3des-md5"<br>
        keyexchange="ikev1"<br>
        rekey=yes<br>
        left="%defaultroute"<br>
        leftprotoport="17/1701"<br>
        rightca="CN=Pertino Dev Root CA G1, O=Pertino, C=US"<br>
        leftca="CN=Pertino Dev Root CA G1, O=Pertino, C=US"<br>
        rightid="%any"<br>
        right=%any<br>
        rightprotoport="17/1701"<br>
        type="transport"<br>
        auto="add"<br>
<br>
You will need to adjust the leftca section or define the certificate manually using leftcert.<br>
You also need to run an l2tp daemon, like xl2tpd, as traffic will be tunneled using l2tp.<br>
<br>
Mit freundlichen Grüßen/Regards,<br>
Noel Kuntze<br>
<br>
GPG Key ID: 0x63EC6658<br>
Fingerprint: 23CA BB60 2146 05E7 7278 6592 3839 298F 63EC 6658<br>
<br>
Am 11.02.2015 um 18:49 schrieb Ilan Caspi:<br>
> Maybe this will shed some light on the subject. The chrombook is using the following configuration:<br>
><br>
> ipsec.conf<br>
><br>
> ike="3des-sha1-modp1024"<br>
><br>
>         esp="aes128-sha1,3des-sha1,<u></u>aes128-md5,3des-md5"<br>
><br>
>         keyexchange="ikev1"<br>
><br>
>         rekey=yes<br>
><br>
>         left="%defaultroute"<br>
><br>
>         leftcert="%smartcard1@crypto_<u></u>module:<u></u>719D7F5687E27E8DAD5E37FD84CFFA<u></u>1027B29878"<br>
><br>
>         leftprotoport="17/1701"<br>
><br>
>         leftupdown="/usr/libexec/<u></u>l2tpipsec_vpn/pluto_updown"<br>
><br>
>         right="162.243.137.92"<br>
><br>
>         rightca="CN=Pertino Dev Root CA G1, O=Pertino, C=US"<br>
><br>
>         rightid="%any"<br>
><br>
>         rightprotoport="17/1701"<br>
><br>
>         type="transport"<br>
><br>
>         auto="start"<br>
><br>
> strongswan.conf<br>
><br>
> libstrongswan {<br>
><br>
>   plugins {<br>
><br>
>     pkcs11 {<br>
><br>
>       modules {<br>
><br>
>         crypto_module {<br>
><br>
>           path = /usr/lib/libchaps.so<br>
><br>
>         }<br>
><br>
>       }<br>
><br>
>     }<br>
><br>
>   }<br>
><br>
> }<br>
><br>
> charon {<br>
><br>
>   accept_unencrypted_mainmode_<u></u>messages = yes<br>
><br>
>   ignore_routing_tables = 0<br>
><br>
>   install_routes = no<br>
><br>
>   routing_table = 0<br>
><br>
> }<br>
><br>
><br>
> ipsec.secrets<br>
><br>
> 10.0.1.135 162.243.137.92 : PIN %smartcard1@crypto_module:<u></u>719D7F5687E27E8DAD5E37FD84CFFA<u></u>1027B29878 "111111"<br>
><br>
> I'm trying to dig into the chromium code and understand if this the only config chromeos will generate but assuming that is the case how can I set the strongswan server to answer that client config?<br>
><br>
> Thanks again for all the help<br>
><br>
> Ilan<br>
><br>
><br>
> On Thu Feb 05 2015 at 3:32:52 PM Ilan Caspi <<a href="mailto:ilan.caspi@gmail.com" target="_blank">ilan.caspi@gmail.com</a> <mailto:<a href="mailto:ilan.caspi@gmail.com" target="_blank">ilan.caspi@gmail.com</a>>> wrote:<br>
><br>
>     Hi Noel,<br>
><br>
>     Unfortunately that wasn't the ticket<br>
><br>
>     14[CFG]   candidate "chromebook", match: 1/19/28 (me/other/ike)<br>
><br>
>     14[IKE] no peer config found<br>
><br>
>     14[IKE] queueing INFORMATIONAL task<br>
><br>
>     14[IKE] activating new tasks<br>
><br>
>     14[IKE]   activating INFORMATIONAL task<br>
><br>
>     14[ENC] generating INFORMATIONAL_V1 request 1417043180 [ HASH N(AUTH_FAILED) ]<br>
><br>
><br>
>     ipsec,conf<br>
><br>
>     conn chromebook<br>
><br>
>         keyexchange=ikev1<br>
><br>
>         authby=rsasig<br>
><br>
>         rekey=no<br>
><br>
>         keyingtries=2<br>
><br>
>         left=%defaultroute<br>
><br>
>         leftsubnet=<a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>><br>
><br>
>         leftprotoport=udp/l2tp<br>
><br>
>         leftcert=server.pem<br>
><br>
>         right=%any<br>
><br>
>         rightprotoport=udp/%any<br>
><br>
>         rightrsasigkey=%cert<br>
><br>
>         rightid="CN=*, OU=1957, O=<a href="http://mydomain.com" target="_blank">mydomain.com</a> <<a href="http://mydomain.com" target="_blank">http://mydomain.com</a>>, C=US"<br>
><br>
>         auto=add<br>
><br>
>         aggressive=yes<br>
><br>
><br>
>     On Thu Feb 05 2015 at 1:27:22 PM Noel Kuntze <<a href="mailto:noel@familie-kuntze.de" target="_blank">noel@familie-kuntze.de</a> <mailto:<a href="mailto:noel@familie-kuntze.de" target="_blank">noel@familie-kuntze.de</a><u></u>>> wrote:<br>
><br>
><br>
> Hello Ilan,<br>
><br>
> That could be the client trying to use agressive mode.<br>
> Enable it in the conn section and see if it works with it.<br>
><br>
> Mit freundlichen Grüßen/Regards,<br>
> Noel Kuntze<br>
><br>
> GPG Key ID: 0x63EC6658<br>
> Fingerprint: 23CA BB60 2146 05E7 7278 6592 3839 298F 63EC 6658<br>
><br>
> Am 05.02.2015 um 19:17 schrieb Ilan Caspi:<br>
> > Hi,<br>
><br>
> > I'm trying to connect a chromebook to Linux strongSwan U5.1.2/K3.13.0-43-generic with not much luck.<br>
><br>
> > Using a secret the connection is just fine but when moving the authentication using a CA things are going wrong. The certs should be ok because they work with a different connection<br>
><br>
> > From reading the logs the authentication is going well but things are starting to go wrong here:<br>
><br>
> > 15[ENC] generating ID_PROT response 0 [ ID CERT CERT CERT SIG ]<br>
><br>
> > 15[NET] sending packet: from 162.243.137.92[4500] to 50.204.245.210[4500] (2092 bytes)<br>
><br>
> > 04[NET] sending packet: from 162.243.137.92[4500] to 50.204.245.210[4500]<br>
><br>
> > 03[NET] received packet: from 50.204.245.210[4500] to 162.243.137.92[4500]<br>
><br>
> > 03[NET] waiting for data on sockets<br>
><br>
> > 06[NET] received packet: from 50.204.245.210[4500] to 162.243.137.92[4500] (68 bytes)<br>
><br>
> > 06[ENC] invalid HASH_V1 payload length, decryption failed?<br>
><br>
> > 06[ENC] could not decrypt payloads<br>
><br>
> > 06[IKE] message parsing failed<br>
><br>
> > 06[IKE] ignore malformed INFORMATIONAL request<br>
><br>
> > ipsec.conf<br>
><br>
> > config setup<br>
><br>
> >     charondebug="cfg 2, dmn 2, ike 2, net 2"<br>
><br>
> >     uniqueids=never<br>
><br>
> > conn %default<br>
><br>
> > authby=rsasig<br>
><br>
> >  leftrsasigkey=%cert<br>
><br>
> >  rightrsasigkey=%cert<br>
><br>
> >  keyingtries=1<br>
><br>
> >  keylife=60m<br>
><br>
> >  ikelifetime=240m<br>
><br>
> > rightdns=8.8.8.8<br>
><br>
><br>
> > conn ios<br>
><br>
> >     keyexchange=ikev1<br>
><br>
> >     xauth=server<br>
><br>
> >     left=%defaultroute<br>
><br>
> >     leftsubnet=<a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>><br>
><br>
> >     leftcert=server.pem<br>
><br>
> >     right=%any<br>
><br>
> >     rightid="CN=*, OU=1957, O=<a href="http://secretdomain.com" target="_blank">secretdomain.com</a> <<a href="http://secretdomain.com" target="_blank">http://secretdomain.com</a>> <<a href="http://pertino.com" target="_blank">http://pertino.com</a>>, C=US"<br>
><br>
> >     rightsourceip=<a href="http://172.27.0.0/16" target="_blank">172.27.0.0/16</a> <<a href="http://172.27.0.0/16" target="_blank">http://172.27.0.0/16</a>> <<a href="http://172.27.0.0/16" target="_blank">http://172.27.0.0/16</a>><br>
><br>
> >     rightsubnet=<a href="http://172.27.0.0/16" target="_blank">172.27.0.0/16</a> <<a href="http://172.27.0.0/16" target="_blank">http://172.27.0.0/16</a>> <<a href="http://172.27.0.0/16" target="_blank">http://172.27.0.0/16</a>><br>
><br>
> >     rightauth2=xauth-noauth<br>
><br>
> >     ike=aes128-sha1-modp2048,3des-<u></u>sha1-modp1536<br>
><br>
> >     esp=aes128-sha1-modp2048,3des-<u></u>sha1-modp1536<br>
><br>
> >     rekey=no<br>
><br>
> >     reauth=no<br>
><br>
> >     dpddelay=10<br>
><br>
> >     dpdtimeout=30<br>
><br>
> >     dpdaction=clear<br>
><br>
> >     auto=add<br>
><br>
> >     fragmentation=yes<br>
><br>
><br>
><br>
> > conn chromebook<br>
><br>
> >     keyexchange=ikev1<br>
><br>
> >     authby=rsasig<br>
><br>
> >     rekey=no<br>
><br>
> >     keyingtries=2<br>
><br>
> >     left=%defaultroute<br>
><br>
> >     leftsubnet=<a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>><br>
><br>
> >     leftprotoport=udp/l2tp<br>
><br>
> >     leftcert=server.pem<br>
><br>
> >     right=%any<br>
><br>
> >     rightprotoport=udp/%any<br>
><br>
> >     rightrsasigkey=%cert<br>
><br>
> >     rightid="CN=*, OU=1957, O= <a href="http://secretdomain.com" target="_blank">secretdomain.com</a> <<a href="http://secretdomain.com" target="_blank">http://secretdomain.com</a>> <<a href="http://pertino.com" target="_blank">http://pertino.com</a>>, C=US"<br>
><br>
> >     auto=add<br>
><br>
> > ipsec.secrets<br>
><br>
> > : RSA /etc/ipsec.d/private/<u></u>newserverkey.pem<br>
><br>
><br>
><br>
> > ______________________________<u></u>_________________<br>
> > Users mailing list<br>
> > <a href="mailto:Users@lists.strongswan.org" target="_blank">Users@lists.strongswan.org</a> <mailto:<a href="mailto:Users@lists.strongswan.org" target="_blank">Users@lists.<u></u>strongswan.org</a>><br>
> > <a href="https://lists.strongswan.org/mailman/listinfo/users" target="_blank">https://lists.strongswan.org/<u></u>mailman/listinfo/users</a> <<a href="https://lists.strongswan.org/mailman/listinfo/users" target="_blank">https://lists.strongswan.org/<u></u>mailman/listinfo/users</a>><br>
><br>
><br>
>         ______________________________<u></u>_________________<br>
>         Users mailing list<br>
>         <a href="mailto:Users@lists.strongswan.org" target="_blank">Users@lists.strongswan.org</a> <mailto:<a href="mailto:Users@lists.strongswan.org" target="_blank">Users@lists.<u></u>strongswan.org</a>><br>
>         <a href="https://lists.strongswan.org/mailman/listinfo/users" target="_blank">https://lists.strongswan.org/<u></u>mailman/listinfo/users</a> <<a href="https://lists.strongswan.org/mailman/listinfo/users" target="_blank">https://lists.strongswan.org/<u></u>mailman/listinfo/users</a>><br>
><br>
<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v2<br>
<br>
iQIcBAEBCAAGBQJU25+<u></u>DAAoJEDg5KY9j7GZY42YP+<u></u>wVonlB3zuNYLZ3X4w9AQ+Eg<br>
UAh6xcvMYQC35lqJ+zpAXboP/<u></u>TdRuSSDY2ldxq/xep/<u></u>MuOijEvkKUeidJoO7y+oN<br>
u9ZYQ9hh9XvpkdLZUp+<u></u>h55bUjMjZfRwDGoB6HUyfO787HDJ4h<u></u>tpKMxSEUu+EhvkF<br>
vGl0yj/4D5XkljdN+<u></u>xq559RbP4Rd3RhynaRC/<u></u>o5gEgD295vH8v0JpBYcXf9hDE9d<br>
j3/<u></u>mNYgsAmWDMUEmSUsUYup4i233DFdAQ<u></u>L2xPsW37GJtJ9wPbfeyxponKT3XpU0<u></u>F<br>
a88LIUHvxMk7+<u></u>sZAovj1aRwOQt9LkQFULZ5YIq0JEko<u></u>VT+mcDK/i3pI/Ilr4Vrsi<br>
9cStKIdvEiowsG7w60nLYgINvtw00p<u></u>g1HBVwuWh1wdCeO5G2eRGruZYmQ5IM<u></u>UQS5<br>
ZyHorULoRJi7K5lH842skik7I9w+<u></u>P8mUEI1GSznubyM8xOV0oD8QZxnBNW<u></u>xf+6HH<br>
BfNmOIC8lluQElRpGfmTEm8yVMVrAE<u></u>WIT22G0IL0Y8vJsDKoODYSTUtNZFNn<u></u>7tVE<br>
mUPxiqzf9z0tm8IJtSzHa7wQtLtNBu<u></u>MzVMX/uHOLnjsrsm8FCh+<u></u>ZULyxPSUNmiaA<br>
e5sPtGBaM5ENnKKcAagQC0F2Sizclv<u></u>cfIP0jJx88wFjeyVMCZrjc8nCK8Lm3<u></u>Vz9r<br>
Tl4yNZzKysGnZqj5SwjK<br>
=IEwR<br>
-----END PGP SIGNATURE-----<br>
<br>
<br>
</blockquote></div>