
Brilliant, thanks Kevin, it's working now! <div><br></div><div>You were right, it was the Outbound Interface - I hadn't properly set it to be the public facing interface that Shrew connects to.</div><div><br></div>

<div>The online Shrew instructions are brilliant, but this is an important point that the instructions seem to skip altogether. For n00b sys admins like myself, I didn't think to update the Outbound Interface, I just left it on the default interface, which was incorrect. Probably most Sys admins would know to do this though...</div>

<div><br></div><div>Thanks for your invaluable help, couldn't have done it without your patience and great instructions!</div><div><br><br><div class="gmail_quote">On Mon, Mar 28, 2011 at 3:45 AM, kevin vpn <span dir="ltr"><<a href="mailto:kvpn@live.com">kvpn@live.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div><div></div><div class="h5">On Mon, 28 Mar 2011 01:17:07 +1100<br>

Marcus Robinson <<a href="mailto:marcus@marcusrobinson.info">marcus@marcusrobinson.info</a>> wrote:<br>

<br>

> Hi Kevin,<br>

><br>

> Thanks for your response. I did indeed notice this discrepancy in the<br>

> help page, but I made sure to use my own "<a href="http://client.myvpn.com" target="_blank">client.myvpn.com</a>" in both<br>

> Juniper firewall and client phase 1 settings. Same as well for the<br>

> phase 2 settings, using "<a href="http://vpngw.myvpn.com" target="_blank">vpngw.myvpn.com</a>", so I don't think that's<br>

> the issue.<br>

><br>

> I've also checked the following - I can telnet to the public IP of the<br>

> Juniper VPN on port 80, but I can't telnet to the public IP of the<br>

> Juniper VPN on port 500. The firewall I sit behind definitely has<br>

> port 500 open and I've disabled my Win7 firewall. Is there something<br>

> I need to do on the Juniper to enable access on port 500? The Juniper<br>

> is giving the *"**Phase 1 packet arrived from an unrecognized peer<br>

> gateway."*, so I imagine the request is making it through, so port<br>

> 500 probably isn't the issue...<br>

><br>

> Really stumped on this one - can you see anything else in the help<br>

> docs that might be off?<br>

><br>

> I noticed another discrepancy in the Phase 1 Security settings in the<br>

> help page. It says in the instructions to use  this:<br>

><br>

> Phase 1 Proposal<br>

><br>

>    - pre-g2-3des-sha<br>

>    - pre-g2-3des-md5<br>

>    - pre-g2-aes128-sha<br>

>    - pre-g2-aes128-md5<br>

><br>

><br>

> And yet the screenshot of the settings shows something different - it<br>

> looks like it's using:<br>

><br>

><br>

>    - pre-g2-3des-sha<br>

>    - pre-g2-3des-md5<br>

>    - pre-g2-aes128-sha<br>

>    - pre-g2-aes128-sha<br>

><br>

><br>

> Could this be the issue? Which security settings should I be using?<br>

> (help page is here:<br>

> <a href="http://www.shrew.net/support/wiki/HowtoJuniperSsg" target="_blank">http://www.shrew.net/support/wiki/HowtoJuniperSsg</a> )<br>

><br>

<br>

</div></div>Hi Marcus,<br>

<br>

The "unrecognized peer gateway" message tells us that the traffic is<br>

reaching the gateway on port 500, so that is not an issue.  It also<br>

tells us that the problem is with the identification step. This needs<br>

to be corrected on the VPN -> AutoKey Advanced -> Gateway definition or<br>

on the Shrew Authentication tab.<br>

<br>

(Just as an FYI, the screenshots in the Howto are for ScreenOS code 5.x<br>

I believe, since some of the Gateway options (like Local ID) have been<br>

moved to the Advanced options screen in ScreenOS 6.x.)<br>

<br>

Based on what you've said that you've double-checked the identity<br>

values, your problem could be one of the following:<br>

<br>

1. You have Use As Seed selected. If so, unselect it.<br>

<br>

2. Your Outgoing Interface is not set correctly. Typically it is set to<br>

an interface in the Untrust (or V1-Untrust) zone.  The Outgoing<br>

Interface is the one facing the Shrew client traffic.  If it is not<br>

correct, delete the Gateway definition (you'll need to delete the VPN<br>

definition first too) and create a new one, making sure that you set<br>

the Outgoing Interface correctly.<br>

<br>

3. The pre-shared key does not match the Shrew config.  I would suggest<br>

deliberately re-entering it on both just to be sure. For instance, type<br>

it into Notepad, then copy-and-paste from Notepad to be sure it is the<br>

same on both.<br>

<br>

<br>

Regarding your question about the Phase 1 Proposal values, only one<br>

pair needs to match in order to establish a connection, and the Howto<br>

has three matching pairs, so that should not be your problem.  Thank<br>

you for pointing it out however.  Also, if you were getting to the<br>

negotiation stage, the error message on the gateway would be<br>

"negotiations have failed" rather than "unrecognized peer gateway."<br>

<div><div></div><div class="h5">_______________________________________________<br>

vpn-help mailing list<br>

<a href="mailto:vpn-help@lists.shrew.net">vpn-help@lists.shrew.net</a><br>

<a href="http://lists.shrew.net/mailman/listinfo/vpn-help" target="_blank">http://lists.shrew.net/mailman/listinfo/vpn-help</a><br>

</div></div></blockquote></div><br></div>