Hi!<div><br></div><div>I'm unable to connect to our Cisco ASA 5500 using the Shrew Soft Vpn Client. (Windows 7 64 bit)</div><div><br></div><div>The connection works with the Cisco VPN Client, and the NCP-e Secure Entry Client.</div>
<div><br></div><div>I imported the Cisco VPN Client's .pcf file to the Shrew Soft VPN client, I changed the 'PFS Exchange' setting to group 2 , but when I try to connect to the asa, I got the following error message:</div>
<div>-----</div><div><div>config loaded for site 'psk.pcf'</div><div>configuring client settings ...</div><div>attached to key daemon ...</div><div>peer configured</div><div>iskamp proposal configured</div><div>esp proposal configured</div>
<div>client configured</div><div>local id configured</div><div>pre-shared key configured</div><div>bringing up tunnel ...</div><div>network device configured</div><div>tunnel enabled</div><div>session terminated by gateway</div>
<div>tunnel disabled</div><div>detached from key daemon ...</div><div>-----</div><div><br></div><div>detailed log:</div><div>--------</div><div><div>09/12/20 19:18:16 ## : IKE Daemon, ver 2.1.5</div><div>09/12/20 19:18:16 ## : Copyright 2009 Shrew Soft Inc.</div>
<div>09/12/20 19:18:16 ## : This product linked OpenSSL 0.9.8h 28 May 2008</div><div>09/12/20 19:18:16 ii : opened 'C:\Program Files\ShrewSoft\VPN Client\debug\iked.log'</div><div>09/12/20 19:18:16 ii : rebuilding vnet device list ...</div>
<div>09/12/20 19:18:16 ii : device ROOT\VNET\0000 disabled</div><div>09/12/20 19:18:16 ii : network process thread begin ...</div><div>09/12/20 19:18:16 ii : pfkey process thread begin ...</div><div>09/12/20 19:18:16 ii : ipc server process thread begin ...</div>
<div>09/12/20 19:18:21 !! : unable to connect to pfkey interface</div><div>09/12/20 19:19:05 ii : ipc client process thread begin ...</div><div>09/12/20 19:19:05 <A : peer config add message</div><div>09/12/20 19:19:05 <A : proposal config message</div>
<div>09/12/20 19:19:05 <A : proposal config message</div><div>09/12/20 19:19:05 <A : client config message</div><div>09/12/20 19:19:05 <A : xauth username message</div><div>09/12/20 19:19:05 <A : xauth password message</div>
<div>09/12/20 19:19:05 <A : local id 'TUNNEL-GROUP-NAME' message</div><div>09/12/20 19:19:05 <A : preshared key message</div><div>09/12/20 19:19:05 <A : peer tunnel enable message</div><div>09/12/20 19:19:05 ii : local supports XAUTH</div>
<div>09/12/20 19:19:05 ii : local supports nat-t ( draft v00 )</div><div>09/12/20 19:19:05 ii : local supports nat-t ( draft v01 )</div><div>09/12/20 19:19:05 ii : local supports nat-t ( draft v02 )</div><div>09/12/20 19:19:05 ii : local supports nat-t ( draft v03 )</div>
<div>09/12/20 19:19:05 ii : local supports nat-t ( rfc )</div><div>09/12/20 19:19:05 ii : local supports FRAGMENTATION</div><div>09/12/20 19:19:05 ii : local supports DPDv1</div><div>09/12/20 19:19:05 ii : local is SHREW SOFT compatible</div>
<div>09/12/20 19:19:05 ii : local is NETSCREEN compatible</div><div>09/12/20 19:19:05 ii : local is SIDEWINDER compatible</div><div>09/12/20 19:19:05 ii : local is CISCO UNITY compatible</div><div>09/12/20 19:19:05 >= : cookies 192347d65cb76a3c:0000000000000000</div>
<div>09/12/20 19:19:05 >= : message 00000000</div><div>09/12/20 19:19:05 ii : processing phase1 packet ( 476 bytes )</div><div>09/12/20 19:19:05 =< : cookies 192347d65cb76a3c:2f644b200af32bbb</div><div>09/12/20 19:19:05 =< : message 00000000</div>
<div>09/12/20 19:19:05 ii : matched isakmp proposal #1 transform #2</div><div>09/12/20 19:19:05 ii : - transform    = ike</div><div>09/12/20 19:19:05 ii : - cipher type  = aes</div><div>09/12/20 19:19:05 ii : - key length   = 256 bits</div>
<div>09/12/20 19:19:05 ii : - hash type    = sha1</div><div>09/12/20 19:19:05 ii : - dh group     = modp-1024</div><div>09/12/20 19:19:05 ii : - auth type    = xauth-initiator-psk</div><div>09/12/20 19:19:05 ii : - life seconds = 86400</div>
<div>09/12/20 19:19:05 ii : - life kbytes  = 0</div><div>09/12/20 19:19:05 ii : phase1 id target is any</div><div>09/12/20 19:19:05 ii : phase1 id match </div><div>09/12/20 19:19:05 ii : received = fqdn <a href="http://asa.domain.com">asa.domain.com</a></div>
<div>09/12/20 19:19:05 ii : peer is CISCO UNITY compatible</div><div>09/12/20 19:19:05 ii : peer supports XAUTH</div><div>09/12/20 19:19:05 ii : peer supports DPDv1</div><div>09/12/20 19:19:05 ii : peer supports nat-t ( draft v02 )</div>
<div>09/12/20 19:19:05 ii : nat discovery - local address is translated</div><div>09/12/20 19:19:05 ii : switching to src nat-t udp port 4500</div><div>09/12/20 19:19:05 ii : switching to dst nat-t udp port 4500</div><div>
09/12/20 19:19:05 >= : cookies 192347d65cb76a3c:2f644b200af32bbb</div><div>09/12/20 19:19:05 >= : message 00000000</div><div>09/12/20 19:19:05 ii : phase1 sa established</div><div>09/12/20 19:19:05 ii : 193.xxx.xxx.41:4500 <-> <a href="http://192.168.10.241:4500">192.168.10.241:4500</a></div>
<div>09/12/20 19:19:05 ii : 192347d65cb76a3c:2f644b20af32bbb</div><div>09/12/20 19:19:05 ii : sending peer INITIAL-CONTACT notification</div><div>09/12/20 19:19:05 ii : - <a href="http://192.168.10.241:4500">192.168.10.241:4500</a> -> 193.xxx.xxx.41:4500</div>
<div>09/12/20 19:19:05 ii : - isakmp spi = 192347d65cb76a3c:2f644b200af32bbb</div><div>09/12/20 19:19:05 ii : - data size 0</div><div>09/12/20 19:19:05 >= : cookies 192347d65cb76a3c:2f644b200af32bbb</div><div>09/12/20 19:19:05 >= : message 3c431f2a</div>
<div>09/12/20 19:19:05 ii : processing config packet ( 76 bytes )</div><div>09/12/20 19:19:05 =< : cookies 192347d65cb76a3c:2f644b200af32bbb</div><div>09/12/20 19:19:05 =< : message de1d0f23</div><div>09/12/20 19:19:05 ii : - xauth authentication type</div>
<div>09/12/20 19:19:05 ii : - xauth username</div><div>09/12/20 19:19:05 ii : - xauth password</div><div>09/12/20 19:19:05 ii : received basic xauth request - </div><div>09/12/20 19:19:05 ii : - standard xauth username</div>
<div>09/12/20 19:19:05 ii : - standard xauth password</div><div>09/12/20 19:19:05 ii : sending xauth response for ad-domain-user</div><div>09/12/20 19:19:05 >= : cookies 192347d65cb76a3c:2f644b200af32bbb</div><div>09/12/20 19:19:05 >= : message de1d0f23</div>
<div>09/12/20 19:19:05 ii : processing config packet ( 76 bytes )</div><div>09/12/20 19:19:05 =< : cookies 192347d65cb76a3c:2f644b200af32bbb</div><div>09/12/20 19:19:05 =< : message 94baa9d6</div><div>09/12/20 19:19:05 ii : received xauth result - </div>
<div>09/12/20 19:19:05 ii : user ad-domain-user authentication succeeded</div><div>09/12/20 19:19:05 ii : sending xauth acknowledge</div><div>09/12/20 19:19:05 >= : cookies 192347d65cb76a3c:2f644b200af32bbb</div><div>09/12/20 19:19:05 >= : message 94baa9d6</div>
<div>09/12/20 19:19:05 ii : building config attribute list</div><div>09/12/20 19:19:05 ii : sending config pull request</div><div>09/12/20 19:19:05 >= : cookies 192347d65cb76a3c:2f644b200af32bbb</div><div>09/12/20 19:19:05 >= : message 2c94bbd5</div>
<div>09/12/20 19:19:05 ii : processing config packet ( 332 bytes )</div><div>09/12/20 19:19:05 =< : cookies 192347d65cb76a3c:2f644b200af32bbb</div><div>09/12/20 19:19:05 =< : message 2c94bbd5</div><div>09/12/20 19:19:05 ii : received config pull response</div>
<div>09/12/20 19:19:05 ii : waiting for vnet to arrive ...</div><div>09/12/20 19:19:06 !! : VNET adapter MTU defaulted to 1500.</div><div>09/12/20 19:19:06 ii : creating IPSEC INBOUND policy ANY:<a href="http://192.168.4.0/24:*">192.168.4.0/24:*</a> -> ANY:172.23.34.36:*</div>
<div>09/12/20 19:19:06 ii : creating IPSEC OUTBOUND policy ANY:172.23.34.36:* -> ANY:<a href="http://192.168.4.0/24:*">192.168.4.0/24:*</a></div><div>09/12/20 19:19:06 ii : created IPSEC policy route for <a href="http://192.168.4.0/24">192.168.4.0/24</a></div>
<div>--- I deleted a few subnet</div><div>09/12/20 19:19:06 ii : creating IPSEC INBOUND policy ANY:<a href="http://192.168.54.0/24:*">192.168.54.0/24:*</a> -> ANY:172.23.34.36:*</div><div>09/12/20 19:19:06 ii : creating IPSEC OUTBOUND policy ANY:172.23.34.36:* -> ANY:<a href="http://192.168.54.0/24:*">192.168.54.0/24:*</a></div>
<div>09/12/20 19:19:06 ii : created IPSEC policy route for <a href="http://192.168.54.0/24">192.168.54.0/24</a></div><div>09/12/20 19:19:07 ii : split DNS bypassed ( no split domains defined )</div><div>09/12/20 19:19:07 >= : cookies 192347d65cb76a3c:2f644b200af32bbb</div>
<div>09/12/20 19:19:07 >= : message f1244028</div><div>09/12/20 19:19:07 ii : processing informational packet ( 92 bytes )</div><div>09/12/20 19:19:07 =< : cookies 192347d65cb76a3c:2f644b200af32bbb</div><div>09/12/20 19:19:07 =< : message 4a97adf4</div>
<div>09/12/20 19:19:07 ii : received peer DELETE message</div><div>09/12/20 19:19:07 ii : - 193.asa.xx.41:4500 -> <a href="http://192.168.10.241:4500">192.168.10.241:4500</a></div><div>09/12/20 19:19:07 ii : - isakmp spi = 192347d65cb76a3c:2f644b200af32bbb</div>
<div>09/12/20 19:19:07 ii : cleanup, marked phase1 192347d65cb76a3c:2f644b200af32bbb for removal</div><div>09/12/20 19:19:07 ii : phase1 removal before expire time</div><div>09/12/20 19:19:07 ii : removing IPSEC INBOUND policy ANY:<a href="http://192.168.4.0/24:*">192.168.4.0/24:*</a> -> ANY:172.23.34.36:*</div>
<div>09/12/20 19:19:07 ii : removing IPSEC OUTBOUND policy ANY:172.23.34.36:* -> ANY:<a href="http://192.168.4.0/24:*">192.168.4.0/24:*</a></div><div>09/12/20 19:19:07 !! : failed to remove IPSEC policy route for ANY:<a href="http://192.168.4.0/24:*">192.168.4.0/24:*</a></div>
<div>--- I deleted a few subnet</div><div>09/12/20 19:19:07 ii : removing IPSEC INBOUND policy ANY:<a href="http://192.168.54.0/24:*">192.168.54.0/24:*</a> -> ANY:172.23.34.36:*</div><div>09/12/20 19:19:07 ii : removing IPSEC OUTBOUND policy ANY:172.23.34.36:* -> ANY:<a href="http://192.168.54.0/24:*">192.168.54.0/24:*</a></div>
<div>09/12/20 19:19:07 !! : failed to remove IPSEC policy route for ANY:<a href="http://192.168.54.0/24:*">192.168.54.0/24:*</a></div><div>09/12/20 19:19:07 DB : removing tunnel config references</div><div>09/12/20 19:19:07 DB : removing tunnel phase2 references</div>
<div>09/12/20 19:19:07 ii : phase2 removal before expire time</div><div>09/12/20 19:19:07 DB : removing tunnel phase1 references</div><div>09/12/20 19:19:07 DB : removing all peer tunnel refrences</div><div>09/12/20 19:19:07 ii : ipc client process thread exit ...</div>
<div>--------</div><div><br></div><div>Unfortunately I don't control the asa, but the network admin sent me the relevant part of the config:</div><div>-------</div><div><div>crypto ipsec transform-set 3DES esp-3des esp-sha-hmac</div>
<div>crypto ipsec transform-set AES esp-aes esp-sha-hmac</div><div>crypto ipsec transform-set AES256 esp-aes-256 esp-sha-hmac</div><div>crypto dynamic-map DYNMAP 10 set transform-set AES256 3DES AES</div><div>crypto dynamic-map DYNMAP 10 set reverse-route</div>
<div>crypto map CMAP 99 ipsec-isakmp dynamic DYNMAP</div><div>crypto map CMAP interface ipsec</div><div><br></div></div><div><div>crypto isakmp identity hostname</div><div>crypto isakmp enable ipsec</div><div>crypto isakmp policy 1</div>
<div> authentication rsa-sig</div><div> encryption aes-256</div><div> hash sha</div><div> group 2</div><div> lifetime 86400</div><div>crypto isakmp policy 3</div><div> authentication rsa-sig</div><div> encryption 3des</div>
<div> hash sha</div><div> group 2</div><div> lifetime 86400</div><div>crypto isakmp policy 5</div><div> authentication rsa-sig</div><div> encryption 3des</div><div> hash md5</div><div> group 2</div><div> lifetime 86400</div>
<div>crypto isakmp policy 10</div><div> authentication pre-share</div><div> encryption aes-256</div><div> hash sha</div><div> group 2</div><div> lifetime 86400</div><div>crypto isakmp policy 20</div><div> authentication pre-share</div>
<div> encryption 3des</div><div> hash sha</div><div> group 2</div><div> lifetime 86400</div><div><br></div><div><br></div><div>tunnel-group TUNNEL-GROUP-NAME type ipsec-ra</div><div>tunnel-group TUNNEL-GROUP-NAME general-attributes</div>
<div> authentication-server-group radius-server</div><div> accounting-server-group radius-server</div><div> default-group-policy TUNNEL-GROUP-NAME-RA</div><div>tunnel-group TUNNEL-GROUP-NAME ipsec-attributes</div><div> pre-shared-key *</div>
<div><br></div><div><br></div><div>group-policy TUNNEL-GROUP-NAME-RA internal</div><div>group-policy TUNNEL-GROUP-NAME-RA attributes</div><div> wins-server value 193.wins.xxx.11</div><div> dns-server value 193.dns1.xxx.1 193.dns2.xxx.200</div>
<div> vpn-simultaneous-logins 1</div><div> vpn-tunnel-protocol IPSec</div><div> password-storage disable</div><div> ip-comp enable</div><div> pfs enable</div><div> split-tunnel-policy tunnelspecified</div><div> split-tunnel-network-list value ROUTING_SPLIT</div>
<div> default-domain value <a href="http://domain.com">domain.com</a></div><div> user-authentication enable</div><div> address-pools value VPN_USERS</div><div><br></div><div>ip local pool VPN_USERS 172.23.32.1-172.23.33.255 mask 255.255.252.0</div>
<div><br></div><div>access-list ROUTING_SPLIT standard permit 192.168.4.0 255.255.255.0</div><div>-------</div><div><br></div><div>Any suggestion?</div><div><br></div><div>Regards:</div><div>Attila</div></div></div></div>