Настройка IPsec для NDMS

[Le ecureuil]

2 часа назад, JIABP сказал:

Правильно ли я понимаю, что под шлюзом для своих клиентов понимается функционал аналогичный PPTP-серверу, когда кроме доступа к внутренней сети предоставляется так же доступ к интернету? Если всё верно понял, это будет в релизе 2.07 для гиги 3 или оно "в работе, по времени не известно"?

Все верно, будет и в 2.06, и в 2.07, но пока в разработке.

[Institor]

Подскажите, возможно ли настроить на 4G III (2.07 b2) клиента CiscoVPN? C "Group Authentication" (без сертификатов и прочего).

Сегодня эту бету установил, и возник такой вопрос.

 

[Le ecureuil]

В 7/26/2016 в 09:51, Institor сказал:

Подскажите, возможно ли настроить на 4G III (2.07 b2) клиента CiscoVPN? C "Group Authentication" (без сертификатов и прочего).

Сегодня эту бету установил, и возник такой вопрос.

 

Пока еще нет, и не пробовали так сделать.

Но все возможно в будущем....

[curiosity]

Подскажите, пожалуйста, где может быть ошибка:

IPsec-тунель поднят между Ultra (v2.06(AAGJ.9)B4) и Giga III (v2.06(AAUW.8)B0) по статье БЗ Zyxel https://zyxel.ru/kb/4857/

Сервер - Giga III, клиент - Ultra. Единственное отличие от мануала - DES -> 3DES.

Из соответствующих сетей пингуются "потусторонние" маршрутизаторы, также есть доступ к их Web и CLI, но нет доступа к хостам за ними (адресация сетей не перекрывается, все как по статье БЗ)

В  какую сторону копать?

Изменено 9 августа, 2016 пользователем curiosity
Изменена фраза, допускавшая неоднозначное толкование

[KorDen]

22 часа назад, curiosity сказал:

Giga III (v2.06(AAUW.8)B0)

А если Giga III обновить хотя бы до беты 2.07.B.2.0-2 (а то и до последних delta/draft)?

Изменено 9 августа, 2016 пользователем KorDen

[curiosity]

29 минут назад, KorDen сказал:

А если Giga III обновить хотя бы до беты 2.07.B.2.0-2 (а то и до последних delta/draft)?

Сейчас физического доступа к ней нет, а остаться без возможности ресета если что-то пойдет не так при обновлении совсем не хочется. Да и, честно говоря, не совсем понятно как бы это могло помочь, учитывая тот факт, что IPsec-туннель поднят и стабилен при переподключении (пришлось вернуться к MD5 после вдумчивого прочтения этого форума, но это вина первой Ультры). У меня закрадывается подозрение, что это проблема маршрутизации, но никаких намеков на то, что после поднятия туннеля следует добавить статические маршруты в сети за кинетиками в мануале не было. Напротив, там сразу после построения туннеля для проверки его работоспособности пингуют с хоста в одной подсети хост в другой. Поправьте меня, если я ошибаюсь. Если действительно нужно добавить статический маршрут до сети, то в какой интерфейс его заворачивать? IPsec-туннель при создании маршрута выбрать в качестве интерфейса нельзя, его попросту в списке интерфейсов нет.

[Le ecureuil]

В 8/9/2016 в 02:20, curiosity сказал:

Подскажите, пожалуйста, где может быть ошибка:

IPsec-тунель поднят между Ultra (v2.06(AAGJ.9)B4) и Giga III (v2.06(AAUW.8)B0) по статье БЗ Zyxel https://zyxel.ru/kb/4857/

Сервер - Giga III, клиент - Ultra. Единственное отличие от мануала - DES -> 3DES.

Из соответствующих сетей пингуются "потусторонние" маршрутизаторы, также есть доступ к их Web и CLI, но нет доступа к хостам за ними (адресация сетей не перекрывается, все как по статье БЗ)

В  какую сторону копать?

Если сами маршрутизаторы пингуются - значит все отлично и должно работать без всяких дополнительных прописываний маршрутизаций.

Единственной проблемой может быть то, что на хостах за маршрутизаторами в качестве шлюза по умолчанию не указаны именно эти маршрутизаторы, которые соединены IPsec VPN. Проверьте это.

[curiosity]

1 час назад, Le ecureuil сказал:

Если сами маршрутизаторы пингуются - значит все отлично и должно работать без всяких дополнительных прописываний маршрутизаций.

Ваше утверждение позволило отбросить целый пласт заведомо ложных гипотез и я тут же обнаружил проблему: к своему стыду вынужден констатировать, что проблема была в настройках файрвола. Поскольку адресация сетей за маршрутизаторами отличается, весь трафик из удаленной подсети блокировался.

 

P.S.

Большое спасибо, что не оставляете старые устройства без внимания.

[Rezdbic]

Заранее прощу прощения за оффтоп, чтобы не создавать новую тему, спрошу тут.

Какой VPN безопаснее IPSec VPN или PPTP VPN?

По скорости работы какой будет быстрее?

Изменено 11 августа, 2016 пользователем Rezdbic

[vadimbn]

55 минут назад, Rezdbic сказал:

Какой VPN безопаснее IPSec VPN или PPTP VPN?

IPsec, так как применяется стойкое шифрование (AES), а не MPPE.

 

57 минут назад, Rezdbic сказал:

По скорости работы какой будет быстрее?

В старших кинетиках есть блок аппаратного шифрования, если он работает - то шифрование никак не влияет на процессор, им производится только инкапсуляция/декапсуляция пакетов. Если блока аппаратного шифрования нет - то PPTP будет быстрее.

[Le ecureuil]

4 часа назад, vadimbn сказал:

IPsec, так как применяется стойкое шифрование (AES), а не MPPE.

 

В старших кинетиках есть блок аппаратного шифрования, если он работает - то шифрование никак не влияет на процессор, им производится только инкапсуляция/декапсуляция пакетов. Если блока аппаратного шифрования нет - то PPTP будет быстрее.

В некоторых младших тоже - Start II, Lite III rev B и 4G rev B (устройства на MT7628) тоже умеют аппаратное шифрование AES.

[Le ecureuil]

5 часов назад, Rezdbic сказал:

Заранее прощу прощения за оффтоп, чтобы не создавать новую тему, спрошу тут.

Какой VPN безопаснее IPSec VPN или PPTP VPN?

По скорости работы какой будет быстрее?

На Ultra II с аппаратным шифрованием IPsec показал 350 Мбит/сек, PPTP же в аналогичных условиях на этой железке - 70..80 Мбит/сек

[Rezdbic]

На Giga II и Giga III есть поддержка аппаратного шифрования?

[vadimbn]

46 минут назад, Rezdbic сказал:

На Giga II и Giga III есть поддержка аппаратного шифрования?

Есть только на Giga III.

Изменено 12 августа, 2016 пользователем vadimbn
GigaII построен на процессоре RT6856, в нем блок аппаратного шифрования отсутствует.

[Rezdbic]

К сожалению Giga II уже есть и менять его ни кто не будет (
Giga II плохо работает с IPsec VPN?

Изменено 12 августа, 2016 пользователем Rezdbic

[Rezdbic]

http://forum.keenetic.net/topic/251-тестирование-206/

Цитата

Из нового в 2.06:

• IPsec, причем для rt6856 — с аппаратным ускорением
• Поддержка Keenetic PLUS DECT
• Поддержка Keenetic PLUS DSL

 

Изменено 12 августа, 2016 пользователем Rezdbic

[vadimbn]

22 минуты назад, Rezdbic сказал:

IPsec, причем для rt6856 — с аппаратным ускорением

Ну странно, на сайте Mediatek нет упоминания об аппаратном шифровании для RT6856, могу, конечно, ошибаться. Подождем разработчика. Но в Giga III точно есть.

[Le ecureuil]

2 часа назад, vadimbn сказал:

Есть только на Giga III.

С чего вы взяли? у RT6856 точно такой же блок аппаратного шифрования EIP93, доступен в прошивке 2.06 через те же самые команды.

[Le ecureuil]

2 часа назад, Rezdbic сказал:

К сожалению Giga II уже есть и менять его ни кто не будет (
Giga II плохо работает с IPsec VPN?

Там более старое ядро, и это имеет свои тонкости, но в целом основные фичи должны работать.

[KorDen]

@Rezdbic При копировании файлов по SMB по туннелю Giga II <-> Ultra II (AES128, crypto engine hardware с обоих сторон) по гигабитной сети скорость в туннеле у меня была около 13 МБайт/с или чуть более 100 мбит/с. Единственно - там есть баг, который пока ставит крест на IPsec, описывал здесь:

 

[r13]

@Le ecureuil В  changelog 2.08

 IPsec: добавлена поддержка IKEv1 Virtual IP:

    клиенты iOS и OS X могут подключаться стандартными средствами, используя профиль Cisco VPN
    клиенты на Android могут подключаться, используя профиль IPsec XAUTH PSK

Как это задействовать? Настроил Ikev1

Режим XAuth Client

Режим согласования: Aggressive

Но при попытке соединения в логе:

09[IKE] found 1 matching config, but none allows XAuthInitPSK authentication using Aggressive Mode 

 

[Le ecureuil]

37 минут назад, r13 сказал:

@Le ecureuil В  changelog 2.08

 IPsec: добавлена поддержка IKEv1 Virtual IP:

    клиенты iOS и OS X могут подключаться стандартными средствами, используя профиль Cisco VPN
    клиенты на Android могут подключаться, используя профиль IPsec XAUTH PSK

Как это задействовать? Настроил Ikev1

Режим XAuth Client

Режим согласования: Aggressive

Но при попытке соединения в логе:

09[IKE] found 1 matching config, but none allows XAuthInitPSK authentication using Aggressive Mode 

 

 - Включите Main режим вместо Aggressive.

 - Добавьте пользователя с тегом IPsec Xauth, и используйте именно эти учетные данные в клиенте.

- Включите режим XAuth Server.

- В качестве удаленной подсети можете задать что угодно, это использоваться не будет.

- В CLI необходимо включить virtualip и задать pool:

> crypto map <name> virtual-ip enable

> crypto map <name> virtual-ip range <ip-адрес-начала> <ip-адрес-конца>

После этого должно заработать.

[pachalia]

Вместо PPTP при подключение 2 кинетиков через интернет можно использовать ipsec? Возможно увидеть устройства присоединёной сети? А то я так понял что на PPTP  "мой компьютер" не увидит устройства присоединёной сети.

[pachalia]

Нашёл пример настройки Ipsec

[KorDen]

35 минут назад, pachalia сказал:

Вместо PPTP при подключение 2 кинетиков через интернет можно использовать ipsec? Возможно увидеть устройства присоединёной сети? А то я так понял что на PPTP  "мой компьютер" не увидит устройства присоединёной сети.

В сетевом окружении компьютеры удаленной сети не будут видны ни по IPsec ни по PPTP, т.к. через туннель не ходят бродкасты. Но в обоих случаях они будут доступны, если обращаться напрямую к IP, например "\\192.168.2.3"

[pachalia]

6 минут назад, KorDen сказал:

Но в обоих случаях они будут доступны, если обращаться напрямую к IP, например "\\192.168.2.3"

Сканеры ip адресов могут помочь в этом случае?

[vlad]

В 15.08.2016 в 00:00, Le ecureuil сказал:

 - Включите Main режим вместо Aggressive.

 - Добавьте пользователя с тегом IPsec Xauth, и используйте именно эти учетные данные в клиенте.

- Включите режим XAuth Server.

- В качестве удаленной подсети можете задать что угодно, это использоваться не будет.

- В CLI необходимо включить virtualip и задать pool:

> crypto map <name> virtual-ip enable

> crypto map <name> virtual-ip range <ip-адрес-начала> <ip-адрес-конца>

После этого должно заработать.

настроил как описано,выдает такую ошибку. 

07[IKE] received NAT-T (RFC 3947) vendor ID

Aug 17 12:29:09ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID

Aug 17 12:29:09ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID

Aug 17 12:29:09ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID

Aug 17 12:29:09ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID

Aug 17 12:29:09ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID

Aug 17 12:29:09ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID

Aug 17 12:29:09ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID

Aug 17 12:29:09ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID

Aug 17 12:29:09ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID

Aug 17 12:29:09ipsec

07[IKE] received XAuth vendor ID

Aug 17 12:29:09ipsec

07[IKE] received Cisco Unity vendor ID

Aug 17 12:29:09ipsec

07[IKE] received FRAGMENTATION vendor ID

Aug 17 12:29:09ipsec

07[IKE] received DPD vendor ID

Aug 17 12:29:09ipsec

07[IKE] 192.168.1.82 is initiating a Main Mode IKE_SA

Aug 17 12:29:09ipsec

07[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#

Aug 17 12:29:09ipsec

07[CFG] configured proposals: IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/#

Aug 17 12:29:09ipsec

07[IKE] no proposal found

 

• 
   

Изменено 17 августа, 2016 пользователем vlad

[r13]

@vlad Настройки алгоритмов шифрования на сервере и клиенте не совпадают

для начала можете поставить все галочки на кинетике, а так, проанализировать блок доступных настроек клиента:

IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#

И выставить соответствующие настройки на сервере

[Le ecureuil]

54 минуты назад, vlad сказал:

настроил как описано,выдает такую ошибку. 

07[IKE] received NAT-T (RFC 3947) vendor ID

Aug 17 12:29:09ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID

Aug 17 12:29:09ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID

Aug 17 12:29:09ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID

Aug 17 12:29:09ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID

Aug 17 12:29:09ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID

Aug 17 12:29:09ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID

Aug 17 12:29:09ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID

Aug 17 12:29:09ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID

Aug 17 12:29:09ipsec

07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID

Aug 17 12:29:09ipsec

07[IKE] received XAuth vendor ID

Aug 17 12:29:09ipsec

07[IKE] received Cisco Unity vendor ID

Aug 17 12:29:09ipsec

07[IKE] received FRAGMENTATION vendor ID

Aug 17 12:29:09ipsec

07[IKE] received DPD vendor ID

Aug 17 12:29:09ipsec

07[IKE] 192.168.1.82 is initiating a Main Mode IKE_SA

Aug 17 12:29:09ipsec

07[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_512_256/PRF_HMAC_SHA2_512/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024/#

Aug 17 12:29:09ipsec

07[CFG] configured proposals: IKE:AES_CBC=128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_768/#

Aug 17 12:29:09ipsec

07[IKE] no proposal found

 

• 
   

Включите в DH-группе в Фазе 1 IKE галки в полях 2 и 3 (modp1024 и modp1536).

[vlad]

настроил по новой,теперь вот такие ошибки 

Aug 17 14:57:47ipsec

06[IKE] received NAT-T (RFC 3947) vendor ID

Aug 17 14:57:47ipsec

06[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID

Aug 17 14:57:47ipsec

06[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID

Aug 17 14:57:47ipsec

06[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID

Aug 17 14:57:47ipsec

06[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID

Aug 17 14:57:47ipsec

06[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID

Aug 17 14:57:47ipsec

06[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID

Aug 17 14:57:47ipsec

06[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID

Aug 17 14:57:47ipsec

06[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID

Aug 17 14:57:47ipsec

06[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID

Aug 17 14:57:47ipsec

06[IKE] received XAuth vendor ID

Aug 17 14:57:47ipsec

06[IKE] received Cisco Unity vendor ID

Aug 17 14:57:47ipsec

06[IKE] received FRAGMENTATION vendor ID

Aug 17 14:57:47ipsec

06[IKE] received DPD vendor ID

Aug 17 14:57:47ipsec

06[IKE] 192.168.1.82 is initiating a Main Mode IKE_SA

Aug 17 14:57:47ipsec

07[IKE] linked key for crypto map '(unnamed)' is not found, still searching

Aug 17 14:57:57ipsec

04[IKE] received NAT-T (RFC 3947) vendor ID

Aug 17 14:57:57ipsec

04[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID

Aug 17 14:57:57ipsec

04[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID

Aug 17 14:57:57ipsec

04[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID

Aug 17 14:57:57ipsec

04[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID

Aug 17 14:57:57ipsec

04[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID

Aug 17 14:57:57ipsec

04[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID

Aug 17 14:57:57ipsec

04[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID

Aug 17 14:57:57ipsec

04[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID

Aug 17 14:57:57ipsec

04[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID

Aug 17 14:57:57ipsec

04[IKE] received XAuth vendor ID

Aug 17 14:57:57ipsec

04[IKE] received Cisco Unity vendor ID

Aug 17 14:57:57ipsec

04[IKE] received FRAGMENTATION vendor ID

Aug 17 14:57:57ipsec

04[IKE] received DPD vendor ID

Aug 17 14:57:57ipsec

04[IKE] 192.168.1.82 is initiating a Main Mode IKE_SA

Aug 17 14:57:57ipsec

08[IKE] linked key for crypto map '(unnamed)' is not found, still searching

Aug 17 14:57:58ipsec

12[CFG] looking for XAuthInitPSK peer configs matching ........192.168.1.82[192.168.1.82]

Aug 17 14:57:58ipsec

12[CFG] selected peer config "vpn"

Aug 17 14:57:58ipsec

11[IKE] message parsing failed

Aug 17 14:57:58ipsec

11[IKE] ignore malformed INFORMATIONAL request

Aug 17 14:57:58ipsec

11[IKE] INFORMATIONAL_V1 request with message ID 3616003100 processing failed

Aug 17 14:57:58ndm

IpSec::Configurator: IKE message parsing error for IPsec crypto map "vpn".

Aug 17 14:57:58ndm

IpSec::Configurator: (possibly because of wrong pre-shared key).

Aug 17 14:58:06ipsec

10[IKE] sending retransmit 1 of request message ID 915551114, seq 1