Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 26 subscribers
  • Views 2351 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Verbindung bricht ab (Watchguard Firebox -> Sophos UTM)

Michgehl & Partner GmbH

 Hallo zusammen,

ich habe eine Sophos UTM 9 mit einer festen IP-Adresse an der sich ein Partner von außen mit seiner Watchguard Firebox per VPN IPsec verbinden muss.

Die VPN Verbindung haben wir zum laufen gebracht, aber täglich bricht der VPN Tunnel zusammen und baut sich nicht mehr automatisch auf.
Lediglich wenn mein Partner seine Watchguard neustartet oder manuell die Verbindung erneut aufbaut, wird eine Verbindung erneut aufgebaut.

2019:01:13-00:01:23 sop4 pluto[6895]: "S_REF_IpsSit11651soeff_0"[1] IP-Adresse-Partner #61745: max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message
2019:01:13-00:01:23 sop4 pluto[6895]: "S_REF_IpsSit11651soeff_0"[1] IP-Adresse-Partner #61745: starting keying attempt 225 of an unlimited number
2019:01:13-00:01:23 sop4 pluto[6895]: "S_REF_IpsSit11651soeff_0"[1] IP-Adresse-Partner #61765: initiating Main Mode to replace #61745
2019:01:13-00:01:23 sop4 pluto[6895]: "S_REF_IpsSit11651soeff_0"[1] IP-Adresse-Partner #61764: discarding duplicate packet; already STATE_MAIN_I3
2019:01:13-00:01:23 sop4 pluto[6895]: "S_REF_IpsSit11651soeff_0"[1] IP-Adresse-Partner #61765: received Vendor ID payload [XAUTH]
2019:01:13-00:01:23 sop4 pluto[6895]: "S_REF_IpsSit11651soeff_0"[1] IP-Adresse-Partner #61765: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2019:01:13-00:01:23 sop4 pluto[6895]: "S_REF_IpsSit11651soeff_0"[1] IP-Adresse-Partner #61765: received Vendor ID payload [Dead Peer Detection]
2019:01:13-00:01:23 sop4 pluto[6895]: "S_REF_IpsSit11651soeff_0"[1] IP-Adresse-Partner #61765: ignoring Vendor ID payload [bfc22e9856ba993611c11e48a6d20807a95bedb393026a49e60fac327bb9601b...]
2019:01:13-00:01:23 sop4 pluto[6895]: "S_REF_IpsSit11651soeff_0"[1] IP-Adresse-Partner #61765: enabling possible NAT-traversal with method RFC 3947
2019:01:13-00:01:23 sop4 pluto[6895]: "S_REF_IpsSit11651soeff_0"[1] IP-Adresse-Partner #61765: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected
2019:01:13-00:01:27 sop4 pluto[6895]: "S_REF_IpsSit11651soeff_0"[1] IP-Adresse-Partner #61746: max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message



This thread was automatically locked due to age.
Parents
  • 0

    Hallo,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Possible authentication failure: no acceptable response to our first encrypted message

    Please show the Edits of the IPsec Connection, IPsec Policy and Remote Gateway.  Confirm that the WatchGuard has NAT-T and anti-replay enabled.  Also , show a picture of the IPsec Policy in the WatchGuard.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • 0 in reply to BAlfson

    Hallo,

    danke bereits für die Hilfestellung.
    Die Watchguard Einstellung kontrolliere ich sobald ich mit meinem Partner wieder kontakt aufnehmen kann. 
    Hier bereits die Einstellungen der Sophos für die Watchguard VPN Verbindung zum Partner.


    Die Einstellung bzgl. "Strikte Richtlinie" und "Tunnel an lokale Schnittstelle binden" und "Striktes Routing" habe ich bereits versucht zu aktivieren und deaktivieren.
    Am Fehler hat dies allerdings nichts geändert.

  • 0 in reply to Michgehl & Partner GmbH

    I would have expected "IPsec-SA-Lebensdaur" to be 3600, but certainly less than that for the IKE-SA.  You will definitely want to check that with your partner, too.

    "Tunnel an lokale Schnittstelle binden" is probably not what you want to do here.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

Reply Children
No Data