Thread Info
  • State Not Answered
  • Replies 29 replies
  • Subscribers 0 subscribers
  • Views 11045 views
  • Users 0 members are here
Options
Suggested

[7.470][BUG][CONFIRMED] IPSec Site-2-Site no more working (from backup)

BuBU
Hi

I've restored a working backup from 7.402 into my newly installed 7.450 gateway...

and my IPSec site2site VPN are no more working... [:(] (that was working fine in 7.402 few minutes before install)

I get: 

2009:06:02-10:56:36 asg pluto[7972]: added connection description "S_Unknown Object"

2009:06:02-10:56:36 asg pluto[7972]: "S_Unknown Object": we have no ipsecN interface for either end of this connection

2009:06:02-10:56:36 asg pluto[7972]: added connection description "S_Unknown Object"

2009:06:02-10:56:36 asg pluto[7972]: "S_Unknown Object": we have no ipsecN interface for either end of this connection

2009:06:02-10:56:36 asg pluto[7972]: forgetting secrets 


any hints ?

thx
Parents Reply Children
  • 0 in reply to BuBU
    I've another issue with that..

    I was having a working IPSec site2site VPN working since 4 or 5 days now..

    and suddenly this afternoon it is no longer working !!! [:(]

    I've these errors in the log: 


    2009:06:18-09:51:08 asg pluto[4603]: added connection description "S_Unknown Object"

    2009:06:18-09:51:08 asg pluto[4603]: "S_Unknown Object" #341: initiating Main Mode

    2009:06:18-09:51:08 asg pluto[4603]: ERROR: "S_Unknown Object" #341: sendto on eth1 to 217.***.***.100:500 failed in main_outI1. Errno 1: Operation not permitted

    2009:06:18-09:51:08 asg pluto[4603]: added connection description "S_Unknown Object" 


    any idea ? I will reboot soon... on the other side it's an asg 7.40x box (and only one vpn is down, the other one to the other 7.40x asg is up and running)

    thx
  • 0 in reply to BuBU
    Hi

    I still have problems with my VPNs on 7.460,  


    2009:06:22-10:28:55 asg pluto[20991]: added connection description "S_Unknown Object"

    2009:06:22-10:28:55 asg pluto[20991]: "S_Unknown Object" #75: initiating Main Mode

    2009:06:22-10:28:55 asg pluto[20991]: ERROR: "S_Unknown Object" #75: sendto on eth1 to 86.65.235.94:500 failed in main_outI1. Errno 1: Operation not permitted

    2009:06:22-10:28:55 asg pluto[20991]: forgetting secrets 


    I need to reboot regularly to make it working again ! [:(]

    any hints on that ?

    thx
  • 0 in reply to BuBU
    Could you check the packetfilter log for blocked traffic? It seems that UDP/500 gets blocked from your local ASG.
  • 0 in reply to d12fk
    Could you check the packetfilter log for blocked traffic? It seems that UDP/500 gets blocked from your local ASG.


    Indeed I have:


    2009:06:22-10:17:41 asg ulogd[3168]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" seq="0" initf="unknown" outitf="unknown" dstmac="00:00:00:00:00:00" srcmac="f2:cf:9a:78:2d:05" srcip="192.168.99.1" dstip="86.xx.***.94" proto="17" length="284" tos="0x00" prec="0x00" ttl="64" srcport="500" dstport="500" 
    2009:06:22-10:28:56 asg ulogd[3168]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" seq="0" initf="unknown" outitf="unknown" dstmac="00:00:00:00:00:00" srcmac="f2:cf:9a:78:2d:05" srcip="192.168.99.1" dstip="86.xx.***.94" proto="17" length="284" tos="0x00" prec="0x00" ttl="64" srcport="500" dstport="500" 


    problem with the initf="unknow" I've already reported in another post ?

    but if I reboot, everything is working again...

    thx
  • 0 in reply to BuBU
    fwrule 60003 is the catch all DROP rule at the end of the OUTPUT chain, so it seems the automatically installed packet filter rules for IPsec disappear after a while. Could you please post the output of `iptables -L AUTO_OUTPUT -nv` and check /tmp/mdwdebug.log for any errors?
  • 0 in reply to d12fk
    fwrule 60003 is the catch all DROP rule at the end of the OUTPUT chain, so it seems the automatically installed packet filter rules for IPsec disappear after a while. Could you please post the output of `iptables -L AUTO_OUTPUT -nv` and check /tmp/mdwdebug.log for any errors?


    attached the iptables results..
    and here an extract from /tmp/mdwdebug.log 


    ConfigManager::connect

    LOADING networks.obj (network->dns_host->address.cobj)

    BASH HOOK: /var/mdw/hooks/networks

    LOADING user_authentication.obj (ipsec->connections.conf)

    Local authenticated user readonly is disabled

    portal enabled, allow_any on

    BASH HOOK: /var/mdw/hooks/user_authentication

    LOADING ipsec.obj (ipsec->connections.conf)

    CALLING SYSTEM: /usr/bin/find /var/sec/chroot-ipsec/etc/ipsec.d -type f ! -newer /var/sec/chroot-ipsec/etc/ipsec.d/.timestamp -exec /bin/rm -f {} ;

    CALLING SYSTEM: /var/mdw/scripts/ipsec-starter reload

    :: Reloading IPsec subsystem..done

    CHILD 1 FORK 13551 /var/mdw/scripts/xl2tpd stop

    CHILD 2 FORK 13552 /var/mdw/scripts/snmpd restart

    BASH HOOK: /var/mdw/hooks/ipsec

    LOADING ipsec.adapter.obj (ipsec.obj)

    :: Shutting down L2TP daemonEBTables: /usr/sbin/ebtables -t nat -F PREROUTING

    CALLING SYSTEM: /usr/sbin/ebtables -t nat -F PREROUTING

    BASH HOOK: /var/mdw/hooks/ipsec.adapter


    any more infos ?

    thx
  • 0 in reply to BuBU
    There is no rule for IKE to 86.xx.***.94, but there are rules for IKE to 217.xx.***.100 and 82.***.***.208. So, in principle the packet filter rules get applied. Do you have some kind of DNAT in place that rewrites one of the addresses?
  • 0 in reply to d12fk
    There is no rule for IKE to 86.xx.***.94, but there are rules for IKE to 217.xx.***.100 and 82.***.***.208. So, in principle the packet filter rules get applied. Do you have some kind of DNAT in place that rewrites one of the addresses?


    I have only 2 tcp DNATs, one for ssh port and one for 51413 for torrent... that's it...
  • 0 in reply to BuBU
    Do you have two IPsec site-to-site connections or more? What type of object do you use for the remote gateway address? DNS Host or Availibility Group or similar? Does a remote gateway DNS Host resolve to more than one IP address?
  • 0 in reply to d12fk
    Do you have two IPsec site-to-site connections or more? What type of object do you use for the remote gateway address? DNS Host or Availibility Group or similar? Does a remote gateway DNS Host resolve to more than one IP address?


    So I've 2 site-to-site connections almost setup the same way... one was working, the other one not...

    Using DNS Host as object.. that was always working with 7.x (