Phil,<div><br></div><div>Use version 2.1.4 of ShrewSoft - this VPN will work then.</div><div><br></div><div>I believe S.S. changed the way it authenticates certs in version 2.1.5:</div><div>From: <a href="http://www.shrew.net/download/changelog/ike/2.1.5-release">http://www.shrew.net/download/changelog/ike/2.1.5-release</a></div>
<div>----------------------</div><div><div>r631 | mgrooms | 2009-07-13 04:25:51 +0000 (Mon, 13 Jul 2009) | 7 lines</div><div><br></div><div>Correct a regression in iked that caused negotiations with Checkpoint </div><div>
VPN-1 gateways to fail. </div><div><br></div><div>Rework a few functions that are used to support RSA based certificate </div><div>authentication. When a gateway sends more than one certificate during </div><div>phase1, we need to determine which certificate is the leaf certificate </div>
<div>being used to generate the signature for authentication. It would be </div><div>good if we could just match the remote ID to the subject name in the </div><div>certificate, but many gateways support non ASN1 DN based identities with </div>
<div>certificate authentication. Instead, we attempt to build a certificate </div><div>chain by examining the certificate list sent. We search for a </div><div>certificate that was not used to sign any other received certificate and </div>
<div>use its public key to perform authentication. This method was tested </div><div>with several Cisco, Checkpoint and ipsec-tools gateways. Many thanks to </div><div>Daniel Sabanes Bove who identified and reported this and other issues. </div>
<div><br></div><div>Correct a potential buffer overflow issue related to extracting a human </div><div>readable RSA key subject used in debug level output. </div><div><br></div><div>Increase the maximum packet length from 4k to 8k. This is necessary to </div>
<div>support large certificate chains. </div><div>--------------------------</div><div><br></div><div>I can get a VPN with certs working to a Sidewinder 7 with SS 2.1.4, but with the same certs and config at SS 2.1.5 the tunnels fail with the same error you posted in your message.  I can't get the tunnel to work at 2.1.5 with certs at all.</div>
<div><br></div><div>-Sam</div></div>