<div dir="ltr">So I've sat down with a colleague from support today, and found out that the VPN server is configured to propose the following for phase 1 and phase 2:<div><br></div><div>IKE (Phase 1) proposal:</div><div>* CH Group: Group 2</div><div>* Encryption: 3DES</div><div>* Authentication SHA1</div><div>* Life Time (seconds): 28800</div><div><br></div><div>Ipsec (Phase 2) proposal:</div><div>* Protocol: ESP</div><div>* Encryption: AES-128</div><div>* Authentication: SHA1</div><div>* Enable Perfect Forward Secrecy: no</div><div>* Life Time (seconds): 28800</div><div><br></div><div>Based on this, I figured I had to specify "3des-sha1-modp1024" as phase 1 algoritms and "aes128-sha1" as phase 2 algorithms, but so far I haven't had any luck.. Can anyone validate my assumption about the phase 1 and phase 2 algoritms values?</div><div><br></div><div>My next step will be to try and get more logging from StrongSwan, to see if I can more precicely pinpoint the problem.</div><div><br></div><div>Kind regards,</div><div><br></div><div>Jonas Koperdraat</div><div><br></div><div><br></div><div><br></div><div><div><br></div></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr">Op za 20 okt. 2018 om 07:00 schreef Jonas Koperdraat <<a href="mailto:jonas@jonaskoperdraat.nl">jonas@jonaskoperdraat.nl</a>>:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Thanks for the reply. <div><br></div><div>I'll get in touch with support and see if I can find out the specifics of phase 2.</div><div><br></div><div>Kind regards, </div><div><br></div><div>Jonas </div><div><br><div class="gmail_quote"><div dir="ltr">On Thu, Oct 18, 2018, 18:40 Noel Kuntze <noel.kuntze+strongswan-users-ml@thermi.consulting> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
It looks like something is off with your phase two configuration. It can be anything in your phase two configuration that it doesn't like. You're better off just asking the administrator of the other side what they expect.<br>
<br>
Kind regards<br>
<br>
Noel<br>
<br>
Am 16.10.18 um 22:16 schrieb Jonas Koperdraat:<br>
> Hello there,<br>
><br>
> I'm having trouble connecting to my company's VPN from my Linux laptop. I have spent quite some time trying to figure out what might be causing this problem, but frankly my knowledge on the subject is limited, so I'm hoping someone here might be able to help me in the right direction. Any help would be greatly appreciated!<br>
><br>
> My campany uses an L2TP VPN with en IPSec tunnel. Using the same credentials as I'm using on my laptop, I am able to connect to the network from my mobile phone funning Android Oreo, without any problems, but from my laptop I am unable to connect.<br>
><br>
> I am running Ubuntu 18.04.1 LTS.<br>
><br>
> jonas@Jonas-XPS13:~$ uname -a<br>
> Linux Jonas-XPS13 4.15.0-1018-oem #21-Ubuntu SMP Tue Aug 28 14:12:47 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux<br>
><br>
> Following these instructions, I added the L2TP network manager to Gnome:<br>
> <a href="https://medium.com/@hkdb/ubuntu-16-04-connecting-to-l2tp-over-ipsec-via-network-manager-204b5d475721" rel="noreferrer" target="_blank">https://medium.com/@hkdb/ubuntu-16-04-connecting-to-l2tp-over-ipsec-via-network-manager-204b5d475721</a><br>
><br>
> However, I wasn't able to connect. This stackoverflow question/answer (among others) mentioned that I might have to specify phase 1 and phase 2 algorithms:<br>
> <a href="https://askubuntu.com/questions/904217/unable-to-connect-l2tp-ipsec-vpn-from-ubuntu-16-04" rel="noreferrer" target="_blank">https://askubuntu.com/questions/904217/unable-to-connect-l2tp-ipsec-vpn-from-ubuntu-16-04</a><br>
><br>
> I ran an ike-scan, from which I concluded that the VPN indeed uses old algorithms, so I added 3des-sha1-modp1024! and 3des-sha1! as phase 1 and phase 2 algorithms. For good measure I added the exclamation marks, as some solutions mentioned that might be required.<br>
><br>
> jonas@Jonas-XPS13:~$ sudo ike-scan -v office.********.nl<br>
> DEBUG: pkt len=336 bytes, bandwidth=56000 bps, int=52000 us<br>
> Starting ike-scan 1.9.4 with 1 hosts (<a href="http://www.nta-monitor.com/tools/ike-scan/" rel="noreferrer" target="_blank">http://www.nta-monitor.com/tools/ike-scan/</a>)<br>
> 87.213.34.174Main Mode Handshake returned HDR=(CKY-R=254e5ebbbb17c30a) SA=(Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800) VID=5b362bc820f60007 (SonicWall-7)<br>
><br>
> Ending ike-scan 1.9.4: 1 hosts scanned in 0.060 seconds (16.70 hosts/sec).  1 returned handshake; 0 returned notify<br>
><br>
> Unfortunately, even though that seemed to be the solution for the majority of the problems I encountered online, I am still unable to connect. Below are links to pastebins with relevant information:<br>
><br>
> Logging of a connection attempt: <a href="https://pastebin.com/cEwMQjjC" rel="noreferrer" target="_blank">https://pastebin.com/cEwMQjjC</a><br>
> /etc/strongswan.conf: <a href="https://pastebin.com/LppKLiqw" rel="noreferrer" target="_blank">https://pastebin.com/LppKLiqw</a><br>
> /etc/strongswan.d/charon.conf <a href="https://pastebin.com/9ecW0LXJ" rel="noreferrer" target="_blank">https://pastebin.com/9ecW0LXJ</a><br>
><br>
> Kind regards and thanks in advance,<br>
><br>
> Jonas<br>
><br>
><br>
><br>
><br>
<br>
</blockquote></div></div>
</blockquote></div>