
<html><body>


<p><tt><font size="4">Hi, sorry about my previous message... as Stefan pointed out: PGP problems (c: </font></tt><br>


<br>


<tt><font size="4">Here are the attachments. </font></tt><br>


<br>


<tt><font size="4">Thank you</font></tt><br>


<br>


<tt><font size="4">Marie</font></tt><br>


<br>


<tt><font size="4">========================================================================</font></tt><br>


<br>


<br>


<tt><font size="4">Hello,</font></tt><br>


<br>


<tt><font size="4">I’ve installed Shrew soft 2.1.7 on a windows XP pro SP3 laptop. I’m trying</font></tt><br>


<tt><font size="4">to connect to a Juniper NetScreen-ISG1000 running the 6.2.0r1.0</font></tt><br>


<tt><font size="4">(firewall+VPN) Firmware.</font></tt><br>


<br>


<tt><font size="4">I’ve followed the procedure on shrew.net to configure a tunnel using x509</font></tt><br>


<tt><font size="4">certificate but I had to tweak it a bit because I’m trying to modify a VPN</font></tt><br>


<tt><font size="4">setup that is currently in place.</font></tt><br>


<br>


<tt><font size="4">I need to use the PROXY-ID settings in the Juniper (under VPNs, AutoKey</font></tt><br>


<tt><font size="4">IKE/advanced) because the user will be assigned an internal address for</font></tt><br>


<tt><font size="4">this solution. So I’ve configured the Shrew Soft client to use a specific</font></tt><br>


<tt><font size="4">address and network mask under the General/Local Host section instead of</font></tt><br>


<tt><font size="4">using the laptop’s current address.</font></tt><br>


<br>


<tt><font size="4">My problem is the following: I’ve entered the IP address that the shrew</font></tt><br>


<tt><font size="4">soft client should be using along with the correct netmask</font></tt><br>


<tt><font size="4">(255.255.255.248), I’ve configured my Juniper ISG-1000 accordingly, my</font></tt><br>


<tt><font size="4">policies on the Juniper ISG 1000 also have the same setup but when I</font></tt><br>


<tt><font size="4">attempt to connect the VPN tunnel, the Juniper ISG-1000 receives the right</font></tt><br>


<tt><font size="4">IP but the wrong netmask. It receives 255.255.255.255 so the phase 2 fails</font></tt><br>


<tt><font size="4">stating that no policy exists for the proxy ID received.</font></tt><br>


<br>


<tt><font size="4">I’ve been able to establish the tunnel by configuring the Shrew Soft client</font></tt><br>


<tt><font size="4">and the Juniper ISG-1000 by using a /32 address (255.255.255.255), the</font></tt><br>


<tt><font size="4">phase 2 completes and the tunnel is up, but unfortunately I can’t reach or</font></tt><br>


<tt><font size="4">ping the remote network when the tunnel is UP. At first I thought that this</font></tt><br>


<tt><font size="4">was two different problems, but I’m stating to think that all my problems</font></tt><br>


<tt><font size="4">comes from this since the laptop is using its own IP as the default</font></tt><br>


<tt><font size="4">gateway.</font></tt><br>


<br>


<tt><font size="4">When I try to ping while connected using the /32 netmask, I can see the</font></tt><br>


<tt><font size="4">ping go through the VPN tunnel, and reaching the remote server. I can track</font></tt><br>


<tt><font size="4">the reply all the way to the Juniper ISG-1000 where I get an ICMP CLOSE AGE</font></tt><br>


<tt><font size="4">OUT. I get the same results when trying to connect on TCP/80, TCP/3389 ....</font></tt><br>


<br>


<tt><font size="4">Also, everytime I try to connect I get the following message in the shrew</font></tt><br>


<tt><font size="4">soft logs: peer violates RFC, transform number mismatch ( 1 != 14 ). It</font></tt><br>


<tt><font size="4">seems that this error might have something to do with the fact that I'm</font></tt><br>


<tt><font size="4">unable to ping. Any idea on how to fix it?</font></tt><br>


<br>


<br>


<tt><font size="4">If you have any suggestions please let me know… Below are my configs and</font></tt><br>


<tt><font size="4">logs.</font></tt><br>


<br>


<br>


<br>


<tt><font size="4">Here’s my shrew soft config – Using the /29 netmask</font></tt><br>


<br>


<i>(See attached file: Shrew config 29.txt)</i><br>


<br>


<tt><font size="4">Shrew soft client logs – Using the /29 netmask</font></tt><br>


<i>(See attached file: Shrew log 29.txt)</i><br>


<br>


<tt><font size="4">Here’s the logs on my juniper ISG1000 – Using the /29 netmask</font></tt><br>


<i>(See attached file: ISG1000 log 29.txt)</i><br>


<br>


<tt><font size="4">Here’s my Shrew soft configuration – Using the /32 netmask</font></tt><br>


<i>(See attached file: Shrew config 32.txt)</i><br>


<br>


<tt><font size="4">Shrew soft client logs – Using the /32 netmask</font></tt><br>


<i>(See attached file: Shrew log 32.txt)</i><br>


<br>


<tt><font size="4">Here’s the logs on my juniper ISG1000 – Using the /32 netmask</font></tt><br>


<br>


<i>(See attached file: ISG1000 log 32.txt)</i><br>


<br>


<br>


<tt><font size="4">Thank you</font></tt><br>


<br>


<br>


<br>


<br>


____________________________________<br>


Marie-Andrée Poisson<br>


Technicienne niveau 2 - Télécommunications<br>


DOT<br>


<br>


<br>


Sogique - Bureau de Québec<br>


</body></html>