
<div dir="ltr">Thanks Noel but still no joy, I'm pretty sure that the rest of the l2tp is fine because it works with a shred secret but the certificates for some reason are still off the current ipsec.conf looks like this<br><div>


<p class="p1">keyexchange=ikev1</p>

<p class="p1">    authby=rsasig</p>

<p class="p1">    rekey=yes</p>

<p class="p1">    keyingtries=2</p>

<p class="p1">    leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></p>

<p class="p1">    leftca="CN=Pertino Dev Root CA G1, O=Pertino, C=US"</p>

<p class="p1">    leftcert=server.pem</p>

<p class="p1">    leftprotoport="17/1701"</p>

<p class="p1">    right=%any</p>

<p class="p1">    rightid=%any</p>

<p class="p1">    rightprotoport="17/1701"</p>

<p class="p1">    type="transport"</p>

<p class="p1">    auto=add</p><p class="p1">The connection fails with this message:</p><p class="p1">IKE_SA chromebook[1] state change: CONNECTING => ESTABLISHED</p><p class="p1">09[IKE] scheduling reauthentication in 13531s</p><p class="p1">09[IKE] maximum IKE_SA lifetime 14071s</p><p class="p1">09[IKE] sending end entity cert "CN=<a href="http://do-c6176704.san-francisco-1.pertinoipsec.dev.pertino.com">do-c6176704.san-francisco-1.pertinoipsec.dev.pertino.com</a>, OU=DEV, O=<a href="http://pertino.com">pertino.com</a>, C=US"</p><p class="p1">09[IKE] sending issuer cert "CN=Pertino Dev Issuing CA G1, O=Pertino, C=US"</p><p class="p1">09[IKE] sending issuer cert "CN=Pertino Dev Intermediate CA G1, O=Pertino, C=US"</p><p class="p1">09[ENC] generating ID_PROT response 0 [ ID CERT CERT CERT SIG ]</p><p class="p1">09[NET] sending packet: from 162.243.137.92[4500] to 50.204.245.210[4500] (2092 bytes)</p><p class="p1">03[NET] sending packet: from 162.243.137.92[4500] to 50.204.245.210[4500]</p><p class="p1">02[NET] received packet: from 50.204.245.210[4500] to 162.243.137.92[4500]</p><p class="p1">02[NET] waiting for data on sockets</p><p class="p1">11[NET] received packet: from 50.204.245.210[4500] to 162.243.137.92[4500] (68 bytes)</p><p class="p1">11[ENC] invalid HASH_V1 payload length, decryption failed?</p><p class="p1">11[ENC] could not decrypt payloads</p><p class="p1">11[IKE] message parsing failed</p><p class="p1">11[IKE] ignore malformed INFORMATIONAL request</p><p class="p1">11[IKE] INFORMATIONAL_V1 request with message ID 2808853053 processing failed</p><p class="p1">02[NET] received packet: from 50.204.245.210[4500] to 162.243.137.92[4500]</p><p class="p1">02[NET] waiting for data on sockets</p><p class="p1">12[NET] received packet: from 50.204.245.210[4500] to 162.243.137.92[4500] (1092 bytes)</p><p class="p1">12[IKE] received retransmit of request with ID 0, retransmitting response</p><p class="p1">12[NET] sending packet: from 162.243.137.92[4500] to 50.204.245.210[4500] (2092 bytes)</p><p class="p1">03[NET] sending packet: from 162.243.137.92[4500] to 50.204.245.210[4500]</p><p class="p1">02[NET] received packet: from 50.204.245.210[4500] to 162.243.137.92[4500]</p><p class="p1">02[NET] waiting for data on sockets</p><p class="p1">13[NET] received packet: from 50.204.245.210[4500] to 162.243.137.92[4500] (68 bytes)</p><p class="p1">13[ENC] invalid HASH_V1 payload length, decryption failed?</p><p class="p1">13[ENC] could not decrypt payloads</p><p class="p1">13[IKE] message parsing failed</p><p class="p1">


</p><p class="p1">13[IKE] ignore malformed INFORMATIONAL request</p></div></div><br><div class="gmail_quote">On Wed Feb 11 2015 at 10:29:31 AM Noel Kuntze <<a href="mailto:noel@familie-kuntze.de">noel@familie-kuntze.de</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>

-----BEGIN PGP SIGNED MESSAGE-----<br>

Hash: SHA256<br>

<br>

Hello Ilan,<br>

<br>

You are looking at a L2TP/IPsec configuration with certificate authentication and transport mode.<br>

The following config will be compatible:<br>

<br>

conn chromiumos<br>

        ike="3des-sha1-modp1024"<br>

        esp="aes128-sha1,3des-sha1,<u></u>aes128-md5,3des-md5"<br>

        keyexchange="ikev1"<br>

        rekey=yes<br>

        left="%defaultroute"<br>

        leftprotoport="17/1701"<br>

        rightca="CN=Pertino Dev Root CA G1, O=Pertino, C=US"<br>

        leftca="CN=Pertino Dev Root CA G1, O=Pertino, C=US"<br>

        rightid="%any"<br>

        right=%any<br>

        rightprotoport="17/1701"<br>

        type="transport"<br>

        auto="add"<br>

<br>

You will need to adjust the leftca section or define the certificate manually using leftcert.<br>

You also need to run an l2tp daemon, like xl2tpd, as traffic will be tunneled using l2tp.<br>

<br>

Mit freundlichen Grüßen/Regards,<br>

Noel Kuntze<br>

<br>

GPG Key ID: 0x63EC6658<br>

Fingerprint: 23CA BB60 2146 05E7 7278 6592 3839 298F 63EC 6658<br>

<br>

Am 11.02.2015 um 18:49 schrieb Ilan Caspi:<br>

> Maybe this will shed some light on the subject. The chrombook is using the following configuration:<br>

><br>

> ipsec.conf<br>

><br>

> ike="3des-sha1-modp1024"<br>

><br>

>         esp="aes128-sha1,3des-sha1,<u></u>aes128-md5,3des-md5"<br>

><br>

>         keyexchange="ikev1"<br>

><br>

>         rekey=yes<br>

><br>

>         left="%defaultroute"<br>

><br>

>         leftcert="%smartcard1@crypto_<u></u>module:<u></u>719D7F5687E27E8DAD5E37FD84CFFA<u></u>1027B29878"<br>

><br>

>         leftprotoport="17/1701"<br>

><br>

>         leftupdown="/usr/libexec/<u></u>l2tpipsec_vpn/pluto_updown"<br>

><br>

>         right="162.243.137.92"<br>

><br>

>         rightca="CN=Pertino Dev Root CA G1, O=Pertino, C=US"<br>

><br>

>         rightid="%any"<br>

><br>

>         rightprotoport="17/1701"<br>

><br>

>         type="transport"<br>

><br>

>         auto="start"<br>

><br>

> strongswan.conf<br>

><br>

> libstrongswan {<br>

><br>

>   plugins {<br>

><br>

>     pkcs11 {<br>

><br>

>       modules {<br>

><br>

>         crypto_module {<br>

><br>

>           path = /usr/lib/libchaps.so<br>

><br>

>         }<br>

><br>

>       }<br>

><br>

>     }<br>

><br>

>   }<br>

><br>

> }<br>

><br>

> charon {<br>

><br>

>   accept_unencrypted_mainmode_<u></u>messages = yes<br>

><br>

>   ignore_routing_tables = 0<br>

><br>

>   install_routes = no<br>

><br>

>   routing_table = 0<br>

><br>

> }<br>

><br>

><br>

> ipsec.secrets<br>

><br>

> 10.0.1.135 162.243.137.92 : PIN %smartcard1@crypto_module:<u></u>719D7F5687E27E8DAD5E37FD84CFFA<u></u>1027B29878 "111111"<br>

><br>

> I'm trying to dig into the chromium code and understand if this the only config chromeos will generate but assuming that is the case how can I set the strongswan server to answer that client config?<br>

><br>

> Thanks again for all the help<br>

><br>

> Ilan<br>

><br>

><br>

> On Thu Feb 05 2015 at 3:32:52 PM Ilan Caspi <<a href="mailto:ilan.caspi@gmail.com" target="_blank">ilan.caspi@gmail.com</a> <mailto:<a href="mailto:ilan.caspi@gmail.com" target="_blank">ilan.caspi@gmail.com</a>>> wrote:<br>

><br>

>     Hi Noel,<br>

><br>

>     Unfortunately that wasn't the ticket<br>

><br>

>     14[CFG]   candidate "chromebook", match: 1/19/28 (me/other/ike)<br>

><br>

>     14[IKE] no peer config found<br>

><br>

>     14[IKE] queueing INFORMATIONAL task<br>

><br>

>     14[IKE] activating new tasks<br>

><br>

>     14[IKE]   activating INFORMATIONAL task<br>

><br>

>     14[ENC] generating INFORMATIONAL_V1 request 1417043180 [ HASH N(AUTH_FAILED) ]<br>

><br>

><br>

>     ipsec,conf<br>

><br>

>     conn chromebook<br>

><br>

>         keyexchange=ikev1<br>

><br>

>         authby=rsasig<br>

><br>

>         rekey=no<br>

><br>

>         keyingtries=2<br>

><br>

>         left=%defaultroute<br>

><br>

>         leftsubnet=<a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>><br>

><br>

>         leftprotoport=udp/l2tp<br>

><br>

>         leftcert=server.pem<br>

><br>

>         right=%any<br>

><br>

>         rightprotoport=udp/%any<br>

><br>

>         rightrsasigkey=%cert<br>

><br>

>         rightid="CN=*, OU=1957, O=<a href="http://mydomain.com" target="_blank">mydomain.com</a> <<a href="http://mydomain.com" target="_blank">http://mydomain.com</a>>, C=US"<br>

><br>

>         auto=add<br>

><br>

>         aggressive=yes<br>

><br>

><br>

>     On Thu Feb 05 2015 at 1:27:22 PM Noel Kuntze <<a href="mailto:noel@familie-kuntze.de" target="_blank">noel@familie-kuntze.de</a> <mailto:<a href="mailto:noel@familie-kuntze.de" target="_blank">noel@familie-kuntze.de</a><u></u>>> wrote:<br>

><br>

><br>

> Hello Ilan,<br>

><br>

> That could be the client trying to use agressive mode.<br>

> Enable it in the conn section and see if it works with it.<br>

><br>

> Mit freundlichen Grüßen/Regards,<br>

> Noel Kuntze<br>

><br>

> GPG Key ID: 0x63EC6658<br>

> Fingerprint: 23CA BB60 2146 05E7 7278 6592 3839 298F 63EC 6658<br>

><br>

> Am 05.02.2015 um 19:17 schrieb Ilan Caspi:<br>

> > Hi,<br>

><br>

> > I'm trying to connect a chromebook to Linux strongSwan U5.1.2/K3.13.0-43-generic with not much luck.<br>

><br>

> > Using a secret the connection is just fine but when moving the authentication using a CA things are going wrong. The certs should be ok because they work with a different connection<br>

><br>

> > From reading the logs the authentication is going well but things are starting to go wrong here:<br>

><br>

> > 15[ENC] generating ID_PROT response 0 [ ID CERT CERT CERT SIG ]<br>

><br>

> > 15[NET] sending packet: from 162.243.137.92[4500] to 50.204.245.210[4500] (2092 bytes)<br>

><br>

> > 04[NET] sending packet: from 162.243.137.92[4500] to 50.204.245.210[4500]<br>

><br>

> > 03[NET] received packet: from 50.204.245.210[4500] to 162.243.137.92[4500]<br>

><br>

> > 03[NET] waiting for data on sockets<br>

><br>

> > 06[NET] received packet: from 50.204.245.210[4500] to 162.243.137.92[4500] (68 bytes)<br>

><br>

> > 06[ENC] invalid HASH_V1 payload length, decryption failed?<br>

><br>

> > 06[ENC] could not decrypt payloads<br>

><br>

> > 06[IKE] message parsing failed<br>

><br>

> > 06[IKE] ignore malformed INFORMATIONAL request<br>

><br>

> > ipsec.conf<br>

><br>

> > config setup<br>

><br>

> >     charondebug="cfg 2, dmn 2, ike 2, net 2"<br>

><br>

> >     uniqueids=never<br>

><br>

> > conn %default<br>

><br>

> > authby=rsasig<br>

><br>

> >  leftrsasigkey=%cert<br>

><br>

> >  rightrsasigkey=%cert<br>

><br>

> >  keyingtries=1<br>

><br>

> >  keylife=60m<br>

><br>

> >  ikelifetime=240m<br>

><br>

> > rightdns=8.8.8.8<br>

><br>

><br>

> > conn ios<br>

><br>

> >     keyexchange=ikev1<br>

><br>

> >     xauth=server<br>

><br>

> >     left=%defaultroute<br>

><br>

> >     leftsubnet=<a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>><br>

><br>

> >     leftcert=server.pem<br>

><br>

> >     right=%any<br>

><br>

> >     rightid="CN=*, OU=1957, O=<a href="http://secretdomain.com" target="_blank">secretdomain.com</a> <<a href="http://secretdomain.com" target="_blank">http://secretdomain.com</a>> <<a href="http://pertino.com" target="_blank">http://pertino.com</a>>, C=US"<br>

><br>

> >     rightsourceip=<a href="http://172.27.0.0/16" target="_blank">172.27.0.0/16</a> <<a href="http://172.27.0.0/16" target="_blank">http://172.27.0.0/16</a>> <<a href="http://172.27.0.0/16" target="_blank">http://172.27.0.0/16</a>><br>

><br>

> >     rightsubnet=<a href="http://172.27.0.0/16" target="_blank">172.27.0.0/16</a> <<a href="http://172.27.0.0/16" target="_blank">http://172.27.0.0/16</a>> <<a href="http://172.27.0.0/16" target="_blank">http://172.27.0.0/16</a>><br>

><br>

> >     rightauth2=xauth-noauth<br>

><br>

> >     ike=aes128-sha1-modp2048,3des-<u></u>sha1-modp1536<br>

><br>

> >     esp=aes128-sha1-modp2048,3des-<u></u>sha1-modp1536<br>

><br>

> >     rekey=no<br>

><br>

> >     reauth=no<br>

><br>

> >     dpddelay=10<br>

><br>

> >     dpdtimeout=30<br>

><br>

> >     dpdaction=clear<br>

><br>

> >     auto=add<br>

><br>

> >     fragmentation=yes<br>

><br>

><br>

><br>

> > conn chromebook<br>

><br>

> >     keyexchange=ikev1<br>

><br>

> >     authby=rsasig<br>

><br>

> >     rekey=no<br>

><br>

> >     keyingtries=2<br>

><br>

> >     left=%defaultroute<br>

><br>

> >     leftsubnet=<a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>><br>

><br>

> >     leftprotoport=udp/l2tp<br>

><br>

> >     leftcert=server.pem<br>

><br>

> >     right=%any<br>

><br>

> >     rightprotoport=udp/%any<br>

><br>

> >     rightrsasigkey=%cert<br>

><br>

> >     rightid="CN=*, OU=1957, O= <a href="http://secretdomain.com" target="_blank">secretdomain.com</a> <<a href="http://secretdomain.com" target="_blank">http://secretdomain.com</a>> <<a href="http://pertino.com" target="_blank">http://pertino.com</a>>, C=US"<br>

><br>

> >     auto=add<br>

><br>

> > ipsec.secrets<br>

><br>

> > : RSA /etc/ipsec.d/private/<u></u>newserverkey.pem<br>

><br>

><br>

><br>

> > ______________________________<u></u>_________________<br>

> > Users mailing list<br>

> > <a href="mailto:Users@lists.strongswan.org" target="_blank">Users@lists.strongswan.org</a> <mailto:<a href="mailto:Users@lists.strongswan.org" target="_blank">Users@lists.<u></u>strongswan.org</a>><br>

> > <a href="https://lists.strongswan.org/mailman/listinfo/users" target="_blank">https://lists.strongswan.org/<u></u>mailman/listinfo/users</a> <<a href="https://lists.strongswan.org/mailman/listinfo/users" target="_blank">https://lists.strongswan.org/<u></u>mailman/listinfo/users</a>><br>

><br>

><br>

>         ______________________________<u></u>_________________<br>

>         Users mailing list<br>

>         <a href="mailto:Users@lists.strongswan.org" target="_blank">Users@lists.strongswan.org</a> <mailto:<a href="mailto:Users@lists.strongswan.org" target="_blank">Users@lists.<u></u>strongswan.org</a>><br>

>         <a href="https://lists.strongswan.org/mailman/listinfo/users" target="_blank">https://lists.strongswan.org/<u></u>mailman/listinfo/users</a> <<a href="https://lists.strongswan.org/mailman/listinfo/users" target="_blank">https://lists.strongswan.org/<u></u>mailman/listinfo/users</a>><br>

><br>

<br>

-----BEGIN PGP SIGNATURE-----<br>

Version: GnuPG v2<br>

<br>

iQIcBAEBCAAGBQJU25+<u></u>DAAoJEDg5KY9j7GZY42YP+<u></u>wVonlB3zuNYLZ3X4w9AQ+Eg<br>

UAh6xcvMYQC35lqJ+zpAXboP/<u></u>TdRuSSDY2ldxq/xep/<u></u>MuOijEvkKUeidJoO7y+oN<br>

u9ZYQ9hh9XvpkdLZUp+<u></u>h55bUjMjZfRwDGoB6HUyfO787HDJ4h<u></u>tpKMxSEUu+EhvkF<br>

vGl0yj/4D5XkljdN+<u></u>xq559RbP4Rd3RhynaRC/<u></u>o5gEgD295vH8v0JpBYcXf9hDE9d<br>

j3/<u></u>mNYgsAmWDMUEmSUsUYup4i233DFdAQ<u></u>L2xPsW37GJtJ9wPbfeyxponKT3XpU0<u></u>F<br>

a88LIUHvxMk7+<u></u>sZAovj1aRwOQt9LkQFULZ5YIq0JEko<u></u>VT+mcDK/i3pI/Ilr4Vrsi<br>

9cStKIdvEiowsG7w60nLYgINvtw00p<u></u>g1HBVwuWh1wdCeO5G2eRGruZYmQ5IM<u></u>UQS5<br>

ZyHorULoRJi7K5lH842skik7I9w+<u></u>P8mUEI1GSznubyM8xOV0oD8QZxnBNW<u></u>xf+6HH<br>

BfNmOIC8lluQElRpGfmTEm8yVMVrAE<u></u>WIT22G0IL0Y8vJsDKoODYSTUtNZFNn<u></u>7tVE<br>

mUPxiqzf9z0tm8IJtSzHa7wQtLtNBu<u></u>MzVMX/uHOLnjsrsm8FCh+<u></u>ZULyxPSUNmiaA<br>

e5sPtGBaM5ENnKKcAagQC0F2Sizclv<u></u>cfIP0jJx88wFjeyVMCZrjc8nCK8Lm3<u></u>Vz9r<br>

Tl4yNZzKysGnZqj5SwjK<br>

=IEwR<br>

-----END PGP SIGNATURE-----<br>

<br>

<br>

</blockquote></div>