Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 0 subscribers
  • Views 831 views
  • Users 0 members are here
Options
Suggested

BETA 3 VPN problem

tccoggs
I recently installed Beta 3.03 on my home firewall so I could play around with all the new goodies.  I was previously running 2.20 and had a IPsec VPN that connected my two NAT'ed networks from my home to my office.  I have reconfigured the VPN connection under V3, and the connection establishes correctly, but my home ASL (V3) logs an error message saying it can't add a route to my firewall for the remote network.  On the other end at my office, the route is added no problem.  Beta Bug or config problem?????
  • 0
    After doing some more research on this issue, I read the following thread that talks about the freeSWAN "nexthop" bug that was present many versions ago.


    http://www.astaro.org/cgi/ultimatebb.cgi?ubb=get_topic&f=3&t=000014

    This sounds exactly like the problem I have.  Could it be possible this bug has resurfaced in 3.03.
  • 0 in reply to StefanS_01
    Well, I tried the old fix of adding the route manualy to ipsec.conf, and if works fine now.  Just thought I'd let everyone else know.
  • 0 in reply to tccoggs
    known issue - will be fixed in next up2date

    workaround: add left hop manually to test

    thanx for feedback
  • 0 in reply to Marcel_01
    Hi 

    The problem with " missings nexthop "gives still in the new version 3.031.  Somewhat unfortunate, I thought already it would now function. 


    Here the log file of IPSEC:

    000 interface ipsec0/eth1 217.xxx.xxx.xxx
    000  
    000 "Grevenmacher_1": 192.168.10.0/24===217.xxx.xxx.xxx...217.xxx.xxx.xxx---194.xxx.xxx.xxx===192.168.0.0/24
    000 "Grevenmacher_1":   ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
    000 "Grevenmacher_1":   policy: PSK+ENCRYPT+TUNNEL+PFS+DISABLEARRIVALCHECK; interface: eth1; unrouted
    000 "Grevenmacher_1":   newest ISAKMP SA: #1; newest IPsec SA: #0; eroute owner: #0
    000  
    000 #15: "Grevenmacher_1" STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 28s
    000 #1: "Grevenmacher_1" STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 1607s; newest ISAKMP

    :: No VPN routing information is available ::


    Mar  6 16:00:01 (none) Pluto[5612]: "Grevenmacher_1" #4: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+DISABLEARRIVALCHECK to replace #3
    Mar  6 16:00:01 (none) Pluto[5612]: "Grevenmacher_1" #4: route-client output: SIOCADDRT: Network is unreachable
    Mar  6 16:00:01 (none) Pluto[5612]: "Grevenmacher_1" #4: route-client output: /usr/local/lib/ipsec/_updown: `route add -net 192.168.0.0 netmask 255.255.255.0 dev ipsec0 gw 194.xxx.xxx.xxx' failed
    Mar  6 16:00:01 (none) Pluto[5612]: "Grevenmacher_1" #4: route-client output: /usr/local/lib/ipsec/_updown: (incorrect or missing nexthop setting??)
    Mar  6 16:00:01 (none) Pluto[5612]: "Grevenmacher_1" #4: route-client command exited with status 7
    Mar  6 16:01:11 (none) Pluto[5612]: "Grevenmacher_1" #4: max number of retransmissions (2) reached STATE_QUICK_I1
    Mar  6 16:01:11 (none) Pluto[5612]: "Grevenmacher_1" #4: starting keying attempt 4 of an unlimited number

    Have you there a solution?  Thanks for your trouble: -)

    thx

    Stefan
Unfiltered HTML