Thread Info
  • State Not Answered
  • Replies 29 replies
  • Subscribers 0 subscribers
  • Views 11055 views
  • Users 0 members are here
Options
Suggested

[7.470][BUG][CONFIRMED] IPSec Site-2-Site no more working (from backup)

BuBU
Hi

I've restored a working backup from 7.402 into my newly installed 7.450 gateway...

and my IPSec site2site VPN are no more working... [:(] (that was working fine in 7.402 few minutes before install)

I get: 

2009:06:02-10:56:36 asg pluto[7972]: added connection description "S_Unknown Object"

2009:06:02-10:56:36 asg pluto[7972]: "S_Unknown Object": we have no ipsecN interface for either end of this connection

2009:06:02-10:56:36 asg pluto[7972]: added connection description "S_Unknown Object"

2009:06:02-10:56:36 asg pluto[7972]: "S_Unknown Object": we have no ipsecN interface for either end of this connection

2009:06:02-10:56:36 asg pluto[7972]: forgetting secrets 


any hints ?

thx
Parents
  • 0
    I've tried to recreate the same connection without luck

    still have the "no ipsecN interface" message [:(]

    thx
  • 0 in reply to BuBU
    hy

    i also installed the new beta version and after finished installation i uploaded the backup file. after successfully uploading the backup file i had to restart the astaro before there were many strange syntoms... :-)

    after reboot everything went fine including my two ipsec vpn connection!

    before 7.402 last backup then upgraded to 7.450 

    maybe seems to be something with your configuration?

    regards
  • 0 in reply to BuBU
    Could you check the packetfilter log for blocked traffic? It seems that UDP/500 gets blocked from your local ASG.
  • 0 in reply to d12fk
    Could you check the packetfilter log for blocked traffic? It seems that UDP/500 gets blocked from your local ASG.


    Indeed I have:


    2009:06:22-10:17:41 asg ulogd[3168]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" seq="0" initf="unknown" outitf="unknown" dstmac="00:00:00:00:00:00" srcmac="f2:cf:9a:78:2d:05" srcip="192.168.99.1" dstip="86.xx.***.94" proto="17" length="284" tos="0x00" prec="0x00" ttl="64" srcport="500" dstport="500" 
    2009:06:22-10:28:56 asg ulogd[3168]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" seq="0" initf="unknown" outitf="unknown" dstmac="00:00:00:00:00:00" srcmac="f2:cf:9a:78:2d:05" srcip="192.168.99.1" dstip="86.xx.***.94" proto="17" length="284" tos="0x00" prec="0x00" ttl="64" srcport="500" dstport="500" 


    problem with the initf="unknow" I've already reported in another post ?

    but if I reboot, everything is working again...

    thx
  • 0 in reply to BuBU
    fwrule 60003 is the catch all DROP rule at the end of the OUTPUT chain, so it seems the automatically installed packet filter rules for IPsec disappear after a while. Could you please post the output of `iptables -L AUTO_OUTPUT -nv` and check /tmp/mdwdebug.log for any errors?
  • 0 in reply to d12fk
    fwrule 60003 is the catch all DROP rule at the end of the OUTPUT chain, so it seems the automatically installed packet filter rules for IPsec disappear after a while. Could you please post the output of `iptables -L AUTO_OUTPUT -nv` and check /tmp/mdwdebug.log for any errors?


    attached the iptables results..
    and here an extract from /tmp/mdwdebug.log 


    ConfigManager::connect

    LOADING networks.obj (network->dns_host->address.cobj)

    BASH HOOK: /var/mdw/hooks/networks

    LOADING user_authentication.obj (ipsec->connections.conf)

    Local authenticated user readonly is disabled

    portal enabled, allow_any on

    BASH HOOK: /var/mdw/hooks/user_authentication

    LOADING ipsec.obj (ipsec->connections.conf)

    CALLING SYSTEM: /usr/bin/find /var/sec/chroot-ipsec/etc/ipsec.d -type f ! -newer /var/sec/chroot-ipsec/etc/ipsec.d/.timestamp -exec /bin/rm -f {} ;

    CALLING SYSTEM: /var/mdw/scripts/ipsec-starter reload

    :: Reloading IPsec subsystem..done

    CHILD 1 FORK 13551 /var/mdw/scripts/xl2tpd stop

    CHILD 2 FORK 13552 /var/mdw/scripts/snmpd restart

    BASH HOOK: /var/mdw/hooks/ipsec

    LOADING ipsec.adapter.obj (ipsec.obj)

    :: Shutting down L2TP daemonEBTables: /usr/sbin/ebtables -t nat -F PREROUTING

    CALLING SYSTEM: /usr/sbin/ebtables -t nat -F PREROUTING

    BASH HOOK: /var/mdw/hooks/ipsec.adapter


    any more infos ?

    thx
  • 0 in reply to BuBU
    There is no rule for IKE to 86.xx.***.94, but there are rules for IKE to 217.xx.***.100 and 82.***.***.208. So, in principle the packet filter rules get applied. Do you have some kind of DNAT in place that rewrites one of the addresses?
  • 0 in reply to d12fk
    There is no rule for IKE to 86.xx.***.94, but there are rules for IKE to 217.xx.***.100 and 82.***.***.208. So, in principle the packet filter rules get applied. Do you have some kind of DNAT in place that rewrites one of the addresses?


    I have only 2 tcp DNATs, one for ssh port and one for 51413 for torrent... that's it...
  • 0 in reply to BuBU
    Do you have two IPsec site-to-site connections or more? What type of object do you use for the remote gateway address? DNS Host or Availibility Group or similar? Does a remote gateway DNS Host resolve to more than one IP address?
  • 0 in reply to d12fk
    Do you have two IPsec site-to-site connections or more? What type of object do you use for the remote gateway address? DNS Host or Availibility Group or similar? Does a remote gateway DNS Host resolve to more than one IP address?


    So I've 2 site-to-site connections almost setup the same way... one was working, the other one not...

    Using DNS Host as object.. that was always working with 7.x (
  • 0 in reply to BuBU
    If you resolve the two hostnames do you get the two addresses in the packet filter rules 217.xx.***.100 and 82.***.***.208?

    Edit: please resolve on the ASG.
  • 0 in reply to d12fk
    If you resolve the two hostnames do you get the two addresses in the packet filter rules 217.xx.***.100 and 82.***.***.208?

    Edit: please resolve on the ASG.


    yes both IPs/Hostname are for my Data Center and for my Office.. so names have permanent IP... and on the asg it does resolv without problemes... (but since this morning I've rebooted as I need the VPNs working... to do my regular job [:)] )

    I will check again once I will get the problem again..

    thx
Reply
  • 0 in reply to d12fk
    If you resolve the two hostnames do you get the two addresses in the packet filter rules 217.xx.***.100 and 82.***.***.208?

    Edit: please resolve on the ASG.


    yes both IPs/Hostname are for my Data Center and for my Office.. so names have permanent IP... and on the asg it does resolv without problemes... (but since this morning I've rebooted as I need the VPNs working... to do my regular job [:)] )

    I will check again once I will get the problem again..

    thx
Children
  • 0 in reply to BuBU
    Ok, please post the same information then again.
  • 0 in reply to d12fk 
    Astaro Beta Report
    --------------------------------
    Version: 7.470
    Type: BUG
    State: CONFIRMED
    Reporter: BuBU
    Contributor: 
    MantisID: 10978
    --------------------------------
  • 0 in reply to Astaro Beta Bot
    I still have problems with the other ipsec vpn this time... [[:(]]

    and reboot does not helped (I rebooted already 3 times ! [[:(]] )

    here is the ipsec site-2-site logs: 

    2009:06:25-13:08:38 asg pluto[4620]: "S_Unknown Object" #3: initiating Main Mode

    2009:06:25-13:08:38 asg pluto[4620]: ERROR: "S_Unknown Object" #3: sendto on eth1 to 217.xx.***.***:500 failed in main_outI1. Errno 1: Operation not permitted

    2009:06:25-13:08:38 asg pluto[4620]: added connection description "S_Unknown Object" 


    thx
  • 0 in reply to BuBU
    Hi,

    this message:

    2009:06:25-13:08:38 asg pluto[4620]: ERROR: "S_Unknown Object" #3: sendto on eth1 to 217.xx.***.***:500 failed in main_outI1. Errno 1: Operation not permitted

    means that the remote 217.xx.***.*** gateway will not accept your packets. Is the remote firewall a astaro or another product?

    2009:06:02-10:56:36 asg pluto[7972]: "S_Unknown Object": we have no ipsecN interface for either end of this connection

    This means, that no ipsec interface is up. Normally you should see a ipsec0 interface with ifconfig. If the error appears ipsec0 should disappear. Could you please attache a test backup to see if it's reproducable? In most cases only pluto is not running and following command will help instead of reboot:

     /var/mdw/scripts/ipsec-starter restart

    Greetings
    Andreas
  • 0 in reply to andyk007
    Hi,

    this message:

    2009:06:25-13:08:38 asg pluto[4620]: ERROR: "S_Unknown Object" #3: sendto on eth1 to 217.xx.***.***:500 failed in main_outI1. Errno 1: Operation not permitted

    means that the remote 217.xx.***.*** gateway will not accept your packets. Is the remote firewall a astaro or another product?

    2009:06:02-10:56:36 asg pluto[7972]: "S_Unknown Object": we have no ipsecN interface for either end of this connection

    This means, that no ipsec interface is up. Normally you should see a ipsec0 interface with ifconfig. If the error appears ipsec0 should disappear. Could you please attache a test backup to see if it's reproducable? In most cases only pluto is not running and following command will help instead of reboot:

     /var/mdw/scripts/ipsec-starter restart

    Greetings
    Andreas


    yep at the other side there is astaro 7.40x boxes (a cluster for one ipsec link and another single box for the other link) at 2 differents data centers... and these are productions data centers so no changes... except planned... which is not the case...

    My internet connection is static ethernet ip with a Fiber Channel router as the default gateway for my astaro...

    Seems this happen when the router get another new IP... but even after X hours the astaro ipsec doesn't come up again [:(] a single reboot fixe the things...

    this problems was not there when I was using 7.40x...

    concerning the backup I will PM it ASAP... but I need to be connected through my VPNs all day today...

    I will try the init script without rebooting when it will arrive again...

    thx
  • 0 in reply to BuBU
    OK thanks for your reply I will try to reproduce it in our lab if I receive your backup

    Thanks for your help

    Greetings
    Andreas
  • 0 in reply to andyk007
    OK thanks for your reply I will try to reproduce it in our lab if I receive your backup

    Thanks for your help

    Greetings
    Andreas


    Ok just sent PM... If you need more info just let me know...

    thx
  • 0 in reply to BuBU
    Hi,

    thanks for your backup. Could you please also tell me which appliance are you using?

    Greetings
    Andreas
  • 0 in reply to andyk007
    Hi,

    thanks for your backup. Could you please also tell me which appliance are you using?

    Greetings
    Andreas


    this installation was for software (into a Xen VM) , but also occured on my asg120...
  • 0 in reply to BuBU
    Any news on that one ?

    I've the problem right now !

    If someone want to check before I restart the ipsec stuff ?

    thx