<HTML dir=ltr><HEAD><TITLE>Re: [vpn-help] Shrew and RSA authentication with Cisco devices</TITLE>
<META content="text/html; charset=unicode" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 8.00.7600.16490"></HEAD>
<BODY>
<DIV dir=ltr id=idOWAReplyText41113>
<DIV dir=ltr><FONT color=#000000 size=2 face=Arial>Hi Matthew</FONT></DIV>
<DIV dir=ltr><FONT size=2 face=Arial></FONT> </DIV>
<DIV dir=ltr><FONT size=2 face=Arial></FONT> </DIV>
<DIV dir=ltr><FONT size=2 face=Arial>I can't use Hybrid because Cisco configuration requests Mutual.</FONT></DIV>
<DIV dir=ltr><FONT size=2 face=Arial></FONT> </DIV>
<DIV dir=ltr><FONT size=2 face=Arial>I tried using Trace utility, but it seems to me it is not working on W7 (64bit).</FONT></DIV>
<DIV dir=ltr> </DIV>
<DIV dir=ltr> </DIV>
<DIV dir=ltr><FONT size=2 face=Arial>Anyway form VPN Client I'm getting output:</FONT></DIV>
<DIV dir=ltr> </DIV>
<DIV dir=ltr> attached to key daemon ...<BR>peer configured<BR>iskamp proposal configured<BR>esp proposal configured<BR>client configured<BR>server cert configured<BR>client cert configured<BR>client key configured<BR>bringing up tunnel ...<BR>negotiation timout occurred<BR>tunnel disabled<BR>detached from key daemon ...</DIV>
<DIV dir=ltr> </DIV>
<DIV dir=ltr> </DIV>
<DIV dir=ltr><FONT size=2 face=Arial>in meanwhile VPN Server logging is reporting gateway was unable to choose correct VPN Profile (that normally is recognized form certificate OU field).</FONT></DIV>
<DIV dir=ltr><FONT size=2 face=Arial></FONT> </DIV>
<DIV dir=ltr><FONT size=2 face=Arial>Please note I'm using same certificate that is working fine with same VPN server and Cisco VPN Client.</FONT></DIV>
<DIV dir=ltr><FONT size=2 face=Arial></FONT> </DIV>
<DIV dir=ltr><FONT size=2 face=Arial></FONT> </DIV>
<DIV dir=ltr><FONT size=2 face=Arial></FONT> </DIV>
<DIV dir=ltr><FONT size=2 face=Arial>Thank you very much about your help</FONT></DIV>
<DIV dir=ltr><FONT size=2 face=Arial></FONT> </DIV>
<DIV dir=ltr><FONT size=2 face=Arial></FONT> </DIV>
<DIV dir=ltr><FONT size=2 face=Arial>Stefano</FONT></DIV>
<DIV dir=ltr><FONT size=2 face=Arial></FONT> </DIV>
<DIV dir=ltr> </DIV></DIV>
<DIV dir=ltr><BR>
<HR tabIndex=-1>
<FONT size=2 face=Tahoma><B>Da:</B> Matthew Grooms [mailto:mgrooms@shrew.net]<BR><B>Inviato:</B> mer 24/03/2010 17.13<BR><B>A:</B> Stefano Lassi<BR><B>Cc:</B> vpn-help@lists.shrew.net<BR><B>Oggetto:</B> Re: [vpn-help] Shrew and RSA authentication with Cisco devices<BR></FONT><BR></DIV>
<DIV>
<P><FONT size=2>On 3/17/2010 7:19 AM, Stefano Lassi wrote:<BR>> Hi<BR>> I'm using, with very good success, Shrew VPN Client in order to connect<BR>> Cisco VPN gateways (IOS, ASA/PIX, VPN3000), using PSK authentication.<BR>> Now, I'm trying to connect to same Cisco VPN gateways using Ibrid (RSA +<BR>> XAuth) authentication, without success.<BR>> Main problem I got is Cisco VPN Server seem not recognizing VPN Group<BR>> (profile), normally specified using certificate OU field.<BR>> I tested few different client authentication "Identification Type"<BR>> options (ASN.1, Key Identifier, etc.) without success: Cisco gateways<BR>> report no "group association" were present from client request.<BR>> Somebody has got some hints how configure Shrew VPN Client to<BR>> correctelly propose right OU field <-> VPN profile association to Cisco<BR>> VPN Gateways (correct OU mapping is already correctelly in place on VPN<BR>> servers, because they are working fine with RSA authentication against<BR>> Cisco VPN Clients ...).<BR>> Thank you very much and see you soon<BR>> Stefano<BR>><BR><BR>Stefano,<BR><BR>For Cisco Hybrid, you should not use Mutual RSA + Xauth. Use Hybrid RSA<BR>+ XAuth instead. If you need Mutual RSA + Xauth and that isn't working,<BR>can you provide log output from the client and the gateway?<BR><BR>-Matthew<BR></FONT></P></DIV></BODY></HTML>