<DIV>Are you able to ping the actual router using it's LAN side IP address? It's possible that the internal host you are pinging is set to not respond to a ping or a firewall setting on one of the devices is blocking the ping. <BR><BR>----- Original Message -----<BR>From: Matthew Austin <maustin@otsys.com><BR>Date: Saturday, May 14, 2011 12:57 pm<BR>Subject: Re: [vpn-help] Checkpoint NGX 8.2.39n - network access issue<BR>To: vpn-help@lists.shrew.net<BR><BR>> I've kept plugging away at this and have gone so far as to download<BR>> and work through some minor build issues with the head revision with<BR>> no real delta.  I'm getting through phase 1 and when I ping an<BR>> internal host it initiates phase 2.  The appliance reports <BR>> in the log<BR>> that phase 2 negotiation completes successfully but the ping <BR>> does not<BR>> return.  Here is the iked.log debug output from when I <BR>> initiate the<BR>> ping forward.<BR>> <BR>> 11/05/14 12:46:53 K< : recv pfkey ACQUIRE ESP message<BR>> 11/05/14 12:46:53 DB : policy found<BR>> 11/05/14 12:46:53 DB : policy found<BR>> 11/05/14 12:46:53 DB : tunnel found<BR>> 11/05/14 12:46:53 DB : new phase2 ( IPSEC initiator )<BR>> 11/05/14 12:46:53 DB : phase2 added ( obj count = 1 )<BR>> 11/05/14 12:46:53 K> : send pfkey GETSPI ESP message<BR>> 11/05/14 12:46:53 K< : recv pfkey GETSPI ESP message<BR>> 11/05/14 12:46:53 DB : phase2 found<BR>> 11/05/14 12:46:53 ii : updated spi for 1 ipsec-esp proposal<BR>> 11/05/14 12:46:53 DB : phase1 found<BR>> 11/05/14 12:46:53 >> : hash payload<BR>> 11/05/14 12:46:53 >> : security association payload<BR>> 11/05/14 12:46:53 >> : - proposal #1 payload<BR>> 11/05/14 12:46:53 >> : -- transform #1 payload<BR>> 11/05/14 12:46:53 >> : -- transform #2 payload<BR>> 11/05/14 12:46:53 >> : -- transform #3 payload<BR>> 11/05/14 12:46:53 >> : -- transform #4 payload<BR>> 11/05/14 12:46:53 >> : -- transform #5 payload<BR>> 11/05/14 12:46:53 >> : -- transform #6 payload<BR>> 11/05/14 12:46:53 >> : -- transform #7 payload<BR>> 11/05/14 12:46:53 >> : -- transform #8 payload<BR>> 11/05/14 12:46:53 >> : -- transform #9 payload<BR>> 11/05/14 12:46:53 >> : -- transform #10 payload<BR>> 11/05/14 12:46:53 >> : -- transform #11 payload<BR>> 11/05/14 12:46:53 >> : -- transform #12 payload<BR>> 11/05/14 12:46:53 >> : -- transform #13 payload<BR>> 11/05/14 12:46:53 >> : -- transform #14 payload<BR>> 11/05/14 12:46:53 >> : -- transform #15 payload<BR>> 11/05/14 12:46:53 >> : -- transform #16 payload<BR>> 11/05/14 12:46:53 >> : -- transform #17 payload<BR>> 11/05/14 12:46:53 >> : -- transform #18 payload<BR>> 11/05/14 12:46:53 >> : -- transform #19 payload<BR>> 11/05/14 12:46:53 >> : -- transform #20 payload<BR>> 11/05/14 12:46:53 >> : -- transform #21 payload<BR>> 11/05/14 12:46:53 >> : -- transform #22 payload<BR>> 11/05/14 12:46:53 >> : -- transform #23 payload<BR>> 11/05/14 12:46:53 >> : -- transform #24 payload<BR>> 11/05/14 12:46:53 >> : -- transform #25 payload<BR>> 11/05/14 12:46:53 >> : -- transform #26 payload<BR>> 11/05/14 12:46:53 >> : -- transform #27 payload<BR>> 11/05/14 12:46:53 >> : -- transform #28 payload<BR>> 11/05/14 12:46:53 >> : -- transform #29 payload<BR>> 11/05/14 12:46:53 >> : -- transform #30 payload<BR>> 11/05/14 12:46:53 >> : -- transform #31 payload<BR>> 11/05/14 12:46:53 >> : -- transform #32 payload<BR>> 11/05/14 12:46:53 >> : -- transform #33 payload<BR>> 11/05/14 12:46:53 >> : -- transform #34 payload<BR>> 11/05/14 12:46:53 >> : -- transform #35 payload<BR>> 11/05/14 12:46:53 >> : -- transform #36 payload<BR>> 11/05/14 12:46:53 >> : -- transform #37 payload<BR>> 11/05/14 12:46:53 >> : -- transform #38 payload<BR>> 11/05/14 12:46:53 >> : -- transform #39 payload<BR>> 11/05/14 12:46:53 >> : -- transform #40 payload<BR>> 11/05/14 12:46:53 >> : -- transform #41 payload<BR>> 11/05/14 12:46:53 >> : -- transform #42 payload<BR>> 11/05/14 12:46:53 >> : -- transform #43 payload<BR>> 11/05/14 12:46:53 >> : -- transform #44 payload<BR>> 11/05/14 12:46:53 >> : -- transform #45 payload<BR>> 11/05/14 12:46:53 >> : nonce payload<BR>> 11/05/14 12:46:53 >> : identification payload<BR>> 11/05/14 12:46:53 >> : identification payload<BR>> 11/05/14 12:46:53 == : phase2 hash_i ( input ) ( 1460 bytes )<BR>> 11/05/14 12:46:53 == : phase2 hash_i ( computed ) ( 16 bytes )<BR>> 11/05/14 12:46:53 == : new phase2 iv ( 16 bytes )<BR>> 11/05/14 12:46:53 >= : cookies f8d338c27cbb826c:2881de11b69d9df3<BR>> 11/05/14 12:46:53 >= : message e75b342c<BR>> 11/05/14 12:46:53 >= : encrypt iv ( 16 bytes )<BR>> 11/05/14 12:46:53 == : encrypt packet ( 1504 bytes )<BR>> 11/05/14 12:46:53 == : stored iv ( 16 bytes )<BR>> 11/05/14 12:46:53 -> : send IKE packet 192.168.0.161:500 -><BR>> 173.164.101.125:500 ( 1544 bytes )<BR>> 11/05/14 12:46:53 DB : phase2 resend event scheduled ( ref count <BR>> = 2 )<BR>> 11/05/14 12:46:53 <- : recv IKE packet 173.164.101.125:500 -><BR>> 192.168.0.161:500 ( 172 bytes )<BR>> 11/05/14 12:46:53 DB : phase1 found<BR>> 11/05/14 12:46:53 ii : processing phase2 packet ( 172 bytes )<BR>> 11/05/14 12:46:53 DB : phase2 found<BR>> 11/05/14 12:46:53 =< : cookies f8d338c27cbb826c:2881de11b69d9df3<BR>> 11/05/14 12:46:53 =< : message e75b342c<BR>> 11/05/14 12:46:53 =< : decrypt iv ( 16 bytes )<BR>> 11/05/14 12:46:53 == : decrypt packet ( 172 bytes )<BR>> 11/05/14 12:46:53 <= : trimmed packet padding ( 16 bytes )<BR>> 11/05/14 12:46:53 <= : stored iv ( 16 bytes )<BR>> 11/05/14 12:46:53 << : hash payload<BR>> 11/05/14 12:46:53 << : security association payload<BR>> 11/05/14 12:46:53 << : - propsal #1 payload<BR>> 11/05/14 12:46:53 << : -- transform #1 payload<BR>> 11/05/14 12:46:53 << : nonce payload<BR>> 11/05/14 12:46:53 << : identification payload<BR>> 11/05/14 12:46:53 << : identification payload<BR>> 11/05/14 12:46:53 == : phase2 hash_r ( input ) ( 132 bytes )<BR>> 11/05/14 12:46:53 == : phase2 hash_r ( computed ) ( 16 bytes )<BR>> 11/05/14 12:46:53 == : phase2 hash_r ( received ) ( 16 bytes )<BR>> 11/05/14 12:46:53 ii : matched ipsec-esp proposal #1 transform #1<BR>> 11/05/14 12:46:53 ii : - transform    = esp-aes<BR>> 11/05/14 12:46:53 ii : - key length   = 256 bits<BR>> 11/05/14 12:46:53 ii : - encap mode   = tunnel<BR>> 11/05/14 12:46:53 ii : - msg auth     = hmac-md5<BR>> 11/05/14 12:46:53 ii : - pfs dh group = none<BR>> 11/05/14 12:46:53 ii : - life seconds = 3600<BR>> 11/05/14 12:46:53 ii : - life kbytes  = 0<BR>> 11/05/14 12:46:53 DB : policy found<BR>> 11/05/14 12:46:53 K> : send pfkey GETSPI ESP message<BR>> 11/05/14 12:46:53 K< : recv pfkey GETSPI ESP message<BR>> 11/05/14 12:46:53 DB : phase2 found<BR>> 11/05/14 12:46:53 ii : phase2 ids accepted<BR>> 11/05/14 12:46:53 ii : - loc ANY:192.168.254.162:* -> <BR>> ANY:192.168.200.0/24:*11/05/14 12:46:53 ii : - rmt <BR>> ANY:192.168.200.0/24:* -> ANY:192.168.254.162:*<BR>> 11/05/14 12:46:53 ii : phase2 sa established<BR>> 11/05/14 12:46:53 ii : 192.168.0.161:500 <-> 173.164.101.125:500<BR>> 11/05/14 12:46:53 == : phase2 hash_p ( input ) ( 45 bytes )<BR>> 11/05/14 12:46:53 == : phase2 hash_p ( computed ) ( 16 bytes )<BR>> 11/05/14 12:46:53 >> : hash payload<BR>> 11/05/14 12:46:53 >= : cookies f8d338c27cbb826c:2881de11b69d9df3<BR>> 11/05/14 12:46:53 >= : message e75b342c<BR>> 11/05/14 12:46:53 >= : encrypt iv ( 16 bytes )<BR>> 11/05/14 12:46:53 == : encrypt packet ( 48 bytes )<BR>> 11/05/14 12:46:53 == : stored iv ( 16 bytes )<BR>> 11/05/14 12:46:53 DB : phase2 resend event canceled ( ref count <BR>> = 1 )<BR>> 11/05/14 12:46:53 -> : send IKE packet 192.168.0.161:500 -><BR>> 173.164.101.125:500 ( 88 bytes )<BR>> 11/05/14 12:46:53 == : spi cipher key data ( 32 bytes )<BR>> 11/05/14 12:46:53 == : spi hmac key data ( 16 bytes )<BR>> 11/05/14 12:46:53 K> : send pfkey UPDATE ESP message<BR>> 11/05/14 12:46:53 K< : recv pfkey UPDATE ESP message<BR>> 11/05/14 12:46:53 == : spi cipher key data ( 32 bytes )<BR>> 11/05/14 12:46:53 == : spi hmac key data ( 16 bytes )<BR>> 11/05/14 12:46:53 K> : send pfkey UPDATE ESP message<BR>> 11/05/14 12:46:53 K< : recv pfkey UPDATE ESP message<BR>> <BR>> It feels like it is soooo close.<BR>> <BR>> On Wed, May 11, 2011 at 5:33 PM, Matthew Austin <BR>> <maustin@otsys.com> wrote:<BR>> > Just a quick update that I downloaded and built 2.1.7 on <BR>> ubuntu 11.04<BR>> > with no change.  We've tested this with ubuntu 10.10 and 11.04 with<BR>> > the 2.1.5 packages.  Let me know if you'd like to see some iked.log<BR>> > output.<BR>> ><BR>> > On Tue, May 10, 2011 at 10:52 PM, Matthew Austin <BR>> <maustin@otsys.com> wrote:<BR>> >> Greetings,<BR>> >><BR>> >> I followed the instructions at <BR>> http://www.shrew.net/support/wiki/HowtoCheckpoint>><BR>> >> shrew reports:<BR>> >> bringing up tunnel ...<BR>> >> network device configured<BR>> >> tunnel enabled<BR>> >><BR>> >> so it would appear that I can connect to the device, <BR>> authenticate, and<BR>> >> it pulls down an IP and all of that, but I can't ping any internal<BR>> >> network or even the gateway.<BR>> >><BR>> >> I also applied the setting recommeded here<BR>> >> http://lists.shrew.net/pipermail/vpn-help/2008-November/000950.html<BR>> >> just in case.<BR>> >><BR>> >> Any help would be appreciated.<BR>> >><BR>> >> Matthew<BR>> >><BR>> ><BR>> _______________________________________________<BR>> vpn-help mailing list<BR>> vpn-help@lists.shrew.net<BR>> http://lists.shrew.net/mailman/listinfo/vpn-help<BR>> </DIV>