<div dir="ltr"><div dir="ltr"><br></div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jul 8, 2021 at 9:55 AM Paul Wouters <<a href="mailto:paul@nohats.ca">paul@nohats.ca</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Thu, 8 Jul 2021, Dan Stromberg wrote:<br>
<br>
> I'm trying to connect to a Fortigate server from a Debian 10.10 host.  I'm seeing no response from the Fortigate server.<br>
> <br>
> Lots of specifics about the situation are at:<br>
> <a href="https://superuser.com/questions/1661309/libreswan-fortigate-ipsec-only-no-ssl-gives-60-second-timeout-exceeded-af" rel="noreferrer" target="_blank">https://superuser.com/questions/1661309/libreswan-fortigate-ipsec-only-no-ssl-gives-60-second-timeout-exceeded-af</a><br>
<br>
No answer to your first packet is almost always a firewall issue.<br>
<br>
If you want, feel free to fire it up against <a href="http://vpn.nohats.ca" rel="noreferrer" target="_blank">vpn.nohats.ca</a>, which has no<br>
firewall and will always respond to strange IKE messages with an error.<br>
<br>
If that shows you the same symptoms, it IS a firewall on or near your end.<br></blockquote><div><br></div><div>I've assumed the "it" I'm firing something up against is ike-scan.</div><div><br></div><div>I'm getting:</div><div>$ ike-scan <a href="http://vpn.nohats.ca">vpn.nohats.ca</a></div>Starting ike-scan 1.9.4 with 1 hosts (<a href="http://www.nta-monitor.com/tools/ike-scan/">http://www.nta-monitor.com/tools/ike-scan/</a>)<br><br>Ending ike-scan 1.9.4: 1 hosts scanned in 2.529 seconds (0.40 hosts/sec).  0 returned handshake; 0 returned notify<br></div><div class="gmail_quote"><br></div><div class="gmail_quote">Could someone not firewalled please run "ike-scan <a href="http://vpn.nohats.ca">vpn.nohats.ca</a>" and send output to the list, for the sake of comparison?</div><div class="gmail_quote"><br></div><div class="gmail_quote">On Debian 10 (and presumably derived distributions like Ubuntu), you can install ike-scan with:</div><div class="gmail_quote">apt install ike-scan</div><div class="gmail_quote">...or you can get it from <a href="https://github.com/royhills/ike-scan">https://github.com/royhills/ike-scan</a></div><div class="gmail_quote"><br></div><div class="gmail_quote">You'll probably have to shut down *swan first, if you have it running on the system in question.</div><div class="gmail_quote"><br></div><div class="gmail_quote">Thanks!</div><div class="gmail_quote"><br></div><div class="gmail_quote">PS: I'm not sure if I'm happy or daunted by the possibility of this being because of a firewall, as I haven't set one up and fear it may be out of my control.</div><div class="gmail_quote"><br></div></div>