<div dir="ltr"><div>Hello,<br><br>I am using mutual rsa + xauth with ecdsa certificate with netscreen  screenos v 6.2.9<br><br></div>This setup crashes the iked.<br><div><div><br></div><div>The cert was created with key which has ECC type sect571r1.<br>
<br></div><div>like: openssl ecparam -out ec_key.key -name sect571r1 -genkey<br><br></div><div>then signed as usual with ca. ca.crt is RSA type.<br><br></div><div>after this iked has to be restarted manually in order to recover.<br>
<br>also the vpn gateway uses ecc certificate.<br></div><div><br><div class="">
<div class="" style="margin-left:1em"><a class="" href="#">-</a> <span class=""><</span><span class="">EventData</span><span class="">></span></div>
<div>
<div class="">
<div style="margin-left:1em"><span class=""> </span> <span class=""><</span><span class="">Data</span><span class="">></span><span class="">iked.exe</span><span class=""></</span><span class="">Data</span><span class="">></span> </div>
</div>
<div class="">
<div style="margin-left:1em"><span class=""> </span> <span class=""><</span><span class="">Data</span><span class="">></span><span class="">0.0.0.0</span><span class=""></</span><span class="">Data</span><span class="">></span> </div>
</div>
<div class="">
<div style="margin-left:1em"><span class=""> </span> <span class=""><</span><span class="">Data</span><span class="">></span><span class="">4c9fc837</span><span class=""></</span><span class="">Data</span><span class="">></span> </div>
</div>
<div class="">
<div style="margin-left:1em"><span class=""> </span> <span class=""><</span><span class="">Data</span><span class="">></span><span class="">iked.exe</span><span class=""></</span><span class="">Data</span><span class="">></span> </div>
</div>
<div class="">
<div style="margin-left:1em"><span class=""> </span> <span class=""><</span><span class="">Data</span><span class="">></span><span class="">0.0.0.0</span><span class=""></</span><span class="">Data</span><span class="">></span> </div>
</div>
<div class="">
<div style="margin-left:1em"><span class=""> </span> <span class=""><</span><span class="">Data</span><span class="">></span><span class="">4c9fc837</span><span class=""></</span><span class="">Data</span><span class="">></span> </div>
</div>
<div class="">
<div style="margin-left:1em"><span class=""> </span> <span class=""><</span><span class="">Data</span><span class="">></span><span class="">c0000005</span><span class=""></</span><span class="">Data</span><span class="">></span> </div>
</div>
<div class="">
<div style="margin-left:1em"><span class=""> </span> <span class=""><</span><span class="">Data</span><span class="">></span><span class="">000225b4</span><span class=""></</span><span class="">Data</span><span class="">></span> </div>
</div>
<div class="">
<div style="margin-left:1em"><span class=""> </span> <span class=""><</span><span class="">Data</span><span class="">></span><span class="">1688</span><span class=""></</span><span class="">Data</span><span class="">></span> </div>
</div>
<div class="">
<div style="margin-left:1em"><span class=""> </span> <span class=""><</span><span class="">Data</span><span class="">></span><span class="">01cec8e57e18af40</span><span class=""></</span><span class="">Data</span><span class="">></span> </div>
</div>
<div class="">
<div style="margin-left:1em"><span class=""> </span> <span class=""><</span><span class="">Data</span><span class="">></span><span class="">C:\Program Files\ShrewSoft\VPN Client\iked.exe</span><span class=""></</span><span class="">Data</span><span class="">></span> 
</div></div>
<div class="">
<div style="margin-left:1em"><span class=""> </span> <span class=""><</span><span class="">Data</span><span class="">></span><span class="">C:\Program Files\ShrewSoft\VPN Client\iked.exe</span><span class=""></</span><span class="">Data</span><span class="">></span> 
</div></div>
<div class="">
<div style="margin-left:1em"><span class=""> </span> <span class=""><</span><span class="">Data</span><span class="">></span><span class="">be5d59c0-34d8-11e3-adc0-ee747f38d1db</span><span class=""></</span><span class="">Data</span><span class="">></span> 
</div></div><span class=""></span><span class=""></</span><span class="">EventData</span><span class="">></span></div></div>
<div><span class=""></span><span class=""></</span><span class="">Event</span><span class="">></span></div><br></div><div><br>13/10/14 16:58:42 ## : IKE Daemon, ver 2.1.7<br>13/10/14 16:58:42 ## : Copyright 2010 Shrew Soft Inc.<br>
13/10/14 16:58:42 ## : This product linked OpenSSL 0.9.8h 28 May 2008<br>13/10/14 16:58:42 ii : opened 'C:\Program Files\ShrewSoft\VPN Client\debug\iked.log'<br>13/10/14 16:58:42 ii : opened 'C:\Program Files\ShrewSoft\VPN Client/debug/dump-ike-decrypt.cap'<br>
13/10/14 16:58:42 ii : rebuilding vnet device list ...<br>13/10/14 16:58:43 ii : device ROOT\VNET\0001 disabled<br>13/10/14 16:58:43 ii : device ROOT\VNET\0000 disabled<br><br>13/10/14 16:58:43 ii : network process thread begin ...<br>
13/10/14 16:58:43 ii : pfkey process thread begin ...<br>13/10/14 16:58:43 ii : ipc server process thread begin ...<br>13/10/14 16:58:47 ii : ipc client process thread begin ...<br>13/10/14 16:58:47 <A : peer config add message<br>
13/10/14 16:58:47 DB : peer added ( obj count = 1 )<br>13/10/14 16:58:47 ii : local address 192.168.122.8 selected for peer<br>13/10/14 16:58:47 DB : tunnel added ( obj count = 1 )<br>13/10/14 16:58:47 <A : proposal config message<br>
13/10/14 16:58:47 <A : proposal config message<br>13/10/14 16:58:47 <A : client config message<br>13/10/14 16:58:47 <A : xauth username message<br>13/10/14 16:58:47 <A : xauth password message<br>13/10/14 16:58:47 <A : local id 'username.domain.tld' message<br>
13/10/14 16:58:47 <A : remote cert 'C:\Users\username\Desktop\ca.crt' message<br>13/10/14 16:58:47 ii : 'C:\Users\username\Desktop\ca.crt' loaded<br>13/10/14 16:58:47 <A : local cert 'C:\Users\username\Desktop\username.domain.tld.crt' message<br>
13/10/14 16:58:47 ii : 'C:\Users\username\Desktop\username.domain.tld.crt' loaded<br>13/10/14 16:58:47 <A : local key 'C:\Users\username\Desktop\username.domain.tld.key' message<br>13/10/14 16:58:47 ii : 'C:\Users\username\Desktop\username.domain.tld.key' loaded<br>
13/10/14 16:58:47 <A : remote resource message<br>13/10/14 16:58:47 <A : peer tunnel enable message<br>13/10/14 16:58:47 DB : new phase1 ( ISAKMP initiator )<br>13/10/14 16:58:47 DB : exchange type is aggressive<br>
13/10/14 16:58:47 DB : <a href="http://192.168.122.8:500">192.168.122.8:500</a> <-> 321.321.312.321:500<br>13/10/14 16:58:47 DB : ##<br>13/10/14 16:58:47 DB : phase1 added ( obj count = 1 )<br>13/10/14 16:58:47 >> : security association payload<br>
13/10/14 16:58:47 >> : - proposal #1 payload<br>13/10/14 16:58:47 >> : -- transform #1 payload<br>13/10/14 16:58:47 >> : key exchange payload<br>13/10/14 16:58:47 >> : nonce payload<br>13/10/14 16:58:47 >> : cert request payload<br>
13/10/14 16:58:47 >> : identification payload<br>13/10/14 16:58:47 >> : vendor id payload<br>13/10/14 16:58:47 ii : local supports XAUTH<br>13/10/14 16:58:47 >> : vendor id payload<br>13/10/14 16:58:47 ii : local supports nat-t ( draft v00 )<br>
13/10/14 16:58:47 >> : vendor id payload<br>13/10/14 16:58:47 ii : local supports nat-t ( draft v01 )<br>13/10/14 16:58:47 >> : vendor id payload<br>13/10/14 16:58:47 ii : local supports nat-t ( draft v02 )<br>
13/10/14 16:58:47 >> : vendor id payload<br>13/10/14 16:58:47 ii : local supports nat-t ( draft v03 )<br>13/10/14 16:58:47 >> : vendor id payload<br>13/10/14 16:58:47 ii : local supports nat-t ( rfc )<br>13/10/14 16:58:47 >> : vendor id payload<br>
13/10/14 16:58:47 ii : local supports FRAGMENTATION<br>13/10/14 16:58:47 >> : vendor id payload<br>13/10/14 16:58:47 ii : local supports DPDv1<br>13/10/14 16:58:47 >> : vendor id payload<br>13/10/14 16:58:47 ii : local is SHREW SOFT compatible<br>
13/10/14 16:58:47 >> : vendor id payload<br>13/10/14 16:58:47 ii : local is NETSCREEN compatible<br>13/10/14 16:58:47 >> : vendor id payload<br>13/10/14 16:58:47 ii : local is SIDEWINDER compatible<br>13/10/14 16:58:47 >> : vendor id payload<br>
13/10/14 16:58:47 ii : local is CISCO UNITY compatible<br>13/10/14 16:58:47 >= : cookies ##<br>13/10/14 16:58:47 >= : message 00000000<br>13/10/14 16:58:47 -> : send IKE packet <a href="http://192.168.122.8:500">192.168.122.8:500</a> -> 321.321.312.321:500 ( 537 bytes )<br>
13/10/14 16:58:47 DB : phase1 resend event scheduled ( ref count = 2 )<br>13/10/14 16:58:47 <- : recv IKE packet 321.321.312.321:500 -> <a href="http://192.168.122.8:500">192.168.122.8:500</a> ( 2079 bytes )<br>13/10/14 16:58:47 DB : phase1 found<br>
13/10/14 16:58:47 ii : processing phase1 packet ( 2079 bytes )<br>13/10/14 16:58:47 =< : cookies ##<br>13/10/14 16:58:47 =< : message 00000000<br>13/10/14 16:58:47 << : security association payload<br>13/10/14 16:58:47 << : - propsal #1 payload<br>
13/10/14 16:58:47 << : -- transform #1 payload<br>13/10/14 16:58:47 ii : matched isakmp proposal #1 transform #1<br>13/10/14 16:58:47 ii : - transform    = ike<br>13/10/14 16:58:47 ii : - cipher type  = aes<br>13/10/14 16:58:47 ii : - key length   = 128 bits<br>
13/10/14 16:58:47 ii : - hash type    = sha1<br>13/10/14 16:58:47 ii : - dh group     = modp-1024<br>13/10/14 16:58:47 ii : - auth type    = xauth-initiator-rsa<br>13/10/14 16:58:47 ii : - life seconds = 86400<br>13/10/14 16:58:47 ii : - life kbytes  = 0<br>
13/10/14 16:58:47 << : vendor id payload<br>13/10/14 16:58:47 ii : unknown vendor id ( 28 bytes )<br>13/10/14 16:58:47 0x : ##<br>13/10/14 16:58:47 << : vendor id payload<br>13/10/14 16:58:47 ii : peer supports XAUTH<br>
13/10/14 16:58:47 << : vendor id payload<br>13/10/14 16:58:47 ii : peer supports DPDv1<br>13/10/14 16:58:47 << : vendor id payload<br>13/10/14 16:58:47 ii : peer supports HEARTBEAT-NOTIFY<br>13/10/14 16:58:47 << : key exchange payload<br>
13/10/14 16:58:47 << : nonce payload<br>13/10/14 16:58:47 << : identification payload<br>13/10/14 16:58:47 ii : phase1 id match ( natt prevents ip match )<br>13/10/14 16:58:47 ii : received = ipv4-host 321.321.312.321<br>
13/10/14 16:58:47 << : certificate payload<br>13/10/14 16:58:47 << : cert request payload<br>13/10/14 16:58:47 << : vendor id payload<br>13/10/14 16:58:47 ii : peer supports nat-t ( draft v02 )<br>13/10/14 16:58:47 << : nat discovery payload<br>
13/10/14 16:58:47 << : nat discovery payload<br>13/10/14 16:58:47 << : signature payload<br>13/10/14 16:58:47 ii : nat discovery - local address is translated<br>13/10/14 16:58:47 ii : switching to src nat-t udp port 4500<br>
13/10/14 16:58:47 ii : switching to dst nat-t udp port 4500<br>13/10/14 16:58:47 == : DH shared secret ( 128 bytes )<br>13/10/14 16:58:47 == : SETKEYID ( 20 bytes )<br>13/10/14 16:58:47 == : SETKEYID_d ( 20 bytes )<br>13/10/14 16:58:47 == : SETKEYID_a ( 20 bytes )<br>
13/10/14 16:58:47 == : SETKEYID_e ( 20 bytes )<br>13/10/14 16:58:47 == : cipher key ( 16 bytes )<br>13/10/14 16:58:47 == : cipher iv ( 16 bytes )<br>13/10/14 16:58:47 >> : certificate payload<br>13/10/14 16:58:47 == : phase1 hash_i ( computed ) ( 20 bytes )<br>
<br></div><div>-Mikko<br></div><div><br></div></div></div>