Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 4 replies
  • Subscribers 0 subscribers
  • Views 996 views
  • Users 0 members are here
Options
Suggested

[7.185] Previously working S2S VPN failing

dskillin
Before the upgrade, this was working flawlessly (through 7.180).  Troubleshooting.

2008:04:10-11:41:04 (none) pluto[4025]: "S_GITI - VPN_0" #1699: we don't have a cert 
2008:04:10-11:41:04 (none) pluto[4025]: "S_GITI - VPN_0" #1699: unable to locate my private key for RSA Signature 
2008:04:10-11:41:04 (none) pluto[4025]: "S_GITI - VPN_0" #1699: sending encrypted notification AUTHENTICATION_FAILED to 64.80.185.227:500 
2008:04:10-11:41:11 (none) pluto[4025]: "S_GITI - VPN_4" #1698: max number of retransmissions (2) reached STATE_MAIN_R2 
2008:04:10-11:41:11 (none) pluto[4025]: packet from 64.80.185.227:500: ignoring Vendor ID payload [strongSwan 2.7.3] 
2008:04:10-11:41:11 (none) pluto[4025]: packet from 64.80.185.227:500: ignoring Vendor ID payload [XAUTH] 
2008:04:10-11:41:11 (none) pluto[4025]: packet from 64.80.185.227:500: received Vendor ID payload [Dead Peer Detection] 
2008:04:10-11:41:11 (none) pluto[4025]: packet from 64.80.185.227:500: received Vendor ID payload [RFC 3947] 
2008:04:10-11:41:11 (none) pluto[4025]: packet from 64.80.185.227:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] 
2008:04:10-11:41:11 (none) pluto[4025]: packet from 64.80.185.227:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] 
2008:04:10-11:41:11 (none) pluto[4025]: packet from 64.80.185.227:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00] 
2008:04:10-11:41:11 (none) pluto[4025]: "S_GITI - VPN_4" #1700: responding to Main Mode 
2008:04:10-11:41:11 (none) pluto[4025]: "S_GITI - VPN_4" #1700: NAT-Traversal: Result using RFC 3947: no NAT detected 
2008:04:10-11:41:11 (none) pluto[4025]: "S_GITI - VPN_4" #1700: Peer ID is ID_FQDN: '@firewall' 
2008:04:10-11:41:11 (none) pluto[4025]: "S_GITI - VPN_4" #1700: issuer cacert not found 
2008:04:10-11:41:11 (none) pluto[4025]: "S_GITI - VPN_4" #1700: X.509 certificate rejected 
2008:04:10-11:41:11 (none) pluto[4025]: "S_GITI - VPN_4" #1700: no RSA public key known for '@firewall' 
2008:04:10-11:41:11 (none) pluto[4025]: "S_GITI - VPN_4" #1700: sending encrypted notification INVALID_KEY_INFORMATION to 64.80.185.227:500
  • 0
    System does not find certs or RSA keys. Tell us some words about your configuration (Keying, maybe the SAs, is remote endpoint also an ASG? if yes, maybe a log snippet, too, ...)

    thx
    ~marcel
  • 0 in reply to Marcel_01
    Astaro -> Astaro.  CA imported from the office FW.

    Repushing the same certs solved the problem.

    Local uses Local x509, remote gateway is set up repond only, local cert - email fqdn.
    Connection utilizes the cert created for the remote email address, AES-128, Auto and Strict.

    Remote uses Local x509 (imported email cert), remote gateway is set to initiate, local cert - imported hostname cert.  AES-128, Auto and Strict.

    Snippet from the 'local' end, where previous was 'remote'.

    2008:04:10-12:06:51 (none) pluto[4725]: packet from 69.255.42.62:500: Informational Exchange is for an unknown (expired?) SA 
    2008:04:10-12:06:51 (none) pluto[4725]: packet from 69.255.42.62:500: Informational Exchange is for an unknown (expired?) SA 
    2008:04:10-12:06:51 (none) pluto[4725]: packet from 69.255.42.62:500: Informational Exchange is for an unknown (expired?) SA 
    2008:04:10-12:06:51 (none) pluto[4725]: "S_dan***xx@******.com_1"[10] 69.255.42.62 #11203: ignoring Delete SA payload: ISAKMP SA not established 
    2008:04:10-12:06:51 (none) pluto[4725]: packet from 69.255.42.62:500: Informational Exchange is for an unknown (expired?) SA 
    2008:04:10-12:06:51 (none) pluto[4725]: packet from 69.255.42.62:500: Informational Exchange is for an unknown (expired?) SA 
    2008:04:10-12:06:51 (none) pluto[4725]: packet from 69.255.42.62:500: Informational Exchange is for an unknown (expired?) SA 
    2008:04:10-12:06:51 (none) pluto[4725]: packet from 69.255.42.62:500: Informational Exchange is for an unknown (expired?) SA 
  • 0 in reply to dskillin
    hey...


    we tried hard to reproduced your issue - unfortunatly without any success :\


    maybe ifyou send me a backup of your asg's via private message we could try again [:)]

    /alex
  • 0 in reply to _alex\
    No problem at all.  Config seems sound, no real clue why simply repushing the certs worked.
Unfiltered HTML