<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv=Content-Type content="text/html; charset=us-ascii">

<meta name=Generator content="Microsoft Word 12 (filtered medium)">

<style>

<!--

 /* Font Definitions */

 @font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

 /* Style Definitions */

 p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;}

@page Section1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.Section1

        {page:Section1;}

-->

</style>

<!--[if gte mso 9]><xml>

 <o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

 <o:shapelayout v:ext="edit">

  <o:idmap v:ext="edit" data="1" />

 </o:shapelayout></xml><![endif]-->

</head>

<body lang=EN-US link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D'>Hello,<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D'>To add to this issue….I downgraded the Shrew client to

2.1.7, upgraded Juniper to 6.3.0r14.0, and phase 2 passes just fine.  I

get the original error about phase 2 failing but then it comes up just

fine.  If I go back and install the later version of Shrew then it’s

back to the same issue as before and the tunnel never comes up.  So from

what I can tell this is an issue with Shrew 2.2.x versions passing phase 2

traffic.<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D'>I have no problem using version 2.1.7 but this will be a problem

for users who are running Windows 8.  Are you able to advise on any kind

of solution for this?<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D'><o:p> </o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D'>Thanks!<br>

Drew<o:p></o:p></span></p>

<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D'><o:p> </o:p></span></p>

<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'>

<p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span

style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> prolag@gmail.com

[mailto:prolag@gmail.com] <b>On Behalf Of </b>Alexis La Goutte<br>

<b>Sent:</b> Tuesday, July 16, 2013 8:07 AM<br>

<b>To:</b> Drew Majewski<br>

<b>Cc:</b> vpn-help@lists.shrew.net<br>

<b>Subject:</b> Re: [vpn-help] Phase 2 failing with Juniper SSG140<o:p></o:p></span></p>

</div>

<p class=MsoNormal><o:p> </o:p></p>

<div>

<p class=MsoNormal><o:p> </o:p></p>

<div>

<p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p>

<div>

<p class=MsoNormal>On Mon, Jul 15, 2013 at 10:03 PM, Drew Majewski <<a

href="mailto:dmajewski@markovprocesses.com" target="_blank">dmajewski@markovprocesses.com</a>>

wrote:<o:p></o:p></p>

<div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Hello,<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>I’ve

been working with Juniper support to try and get VPN connectivity setup with

Shrew but we’re having issues getting phase 2 to pass.  

Juniper has repeated all the steps in their labs too and get the same results

as below and their only solution is to contact you guys or use another VPN Client.

<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Juniper

support has stated: “I suspect that Shrew soft client 2.2.2, running on

windows xp (which is what I tried) is not compatible with  the Juniper

firewall.<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>The

shrew soft client seems to be sending a notification message(DOI 1 24578

INITIAL-CONTACT), which is halting or  stopping the Juniper firewall to

proceed with phase-2 negotiations (refer frame4 in the packet capture 

shrewsoftsnoop1.pcap)<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>2013-07-12

11:47:34       

info        IKE <a

href="http://96.242.112.67" target="_blank">96.242.112.67</a>: Received initial

contact notification and removed Phase 1 SAs.<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>2013-07-12

11:47:34       

info        IKE <a

href="http://96.242.112.67" target="_blank">96.242.112.67</a>: Received initial

contact notification and removed Phase 2 SAs.<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>2013-07-12

11:47:34        info       

IKE <a href="http://96.242.112.67" target="_blank">96.242.112.67</a>: Received

a notification message for DOI 1 24578 INITIAL-CONTACT.  >> HERE<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>2013-07-12

11:47:34       

info        IKE 96.242.112.67 Phase 1:

Completed Aggressive mode negotiations with a  28800-second

lifetime.”<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>The

other errors that are being logged with this are:  "Rejected an IKE

packet on ethernet0/2 from <a href="http://96.242.112.67:14499" target="_blank">96.242.112.67:14499</a>

to <a href="http://96.242.112.68:4500" target="_blank">96.242.112.68:4500</a>

with cookies 5cd1700e400706fd and 0ba9de74df44fcb6 because A Phase 2 packet

arrived while XAuth was still pending.  IKE 96.242.112.67 Phase 2 msg ID

fd04e4ca: Negotiations have failed. "<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>I’m

not sure where to go with this or if it is anything that other users have

experienced.<o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'> <o:p></o:p></p>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'>Thank

you for any help you’re able to give.<o:p></o:p></p>

</div>

</div>

<div>

<p class=MsoNormal><o:p> </o:p></p>

</div>

<div>

<p class=MsoNormal style='margin-bottom:12.0pt'>Hi Drew,<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal style='margin-bottom:12.0pt'>it is possible to attach debug

info with pcap  ? ( <a

href="https://www.shrew.net/support/VPN_Bug_Report_Windows">https://www.shrew.net/support/VPN_Bug_Report_Windows</a> 

)<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal style='margin-bottom:12.0pt'>There is some known issue with

Juniper and Xauth but it is with SRX : <a

href="https://lists.shrew.net/pipermail/vpn-help/2012-December/014091.html">https://lists.shrew.net/pipermail/vpn-help/2012-December/014091.html</a><o:p></o:p></p>

</div>

<div>

<p class=MsoNormal>Regards,<o:p></o:p></p>

</div>

<div>

<p class=MsoNormal><o:p> </o:p></p>

</div>

<blockquote style='border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;

margin-left:4.8pt;margin-right:0in'>

<div>

<div>

<p class=MsoNormal style='mso-margin-top-alt:auto;mso-margin-bottom-alt:auto'><span

style='color:#888888'><br>

Drew Majewski<o:p></o:p></span></p>

</div>

</div>

<p class=MsoNormal style='margin-bottom:12.0pt'><br>

_______________________________________________<br>

vpn-help mailing list<br>

<a href="mailto:vpn-help@lists.shrew.net">vpn-help@lists.shrew.net</a><br>

<a href="https://lists.shrew.net/mailman/listinfo/vpn-help" target="_blank">https://lists.shrew.net/mailman/listinfo/vpn-help</a><o:p></o:p></p>

</blockquote>

</div>

<p class=MsoNormal><o:p> </o:p></p>

</div>

</div>

</div>

</body>

</html>