Thread Info
  • State Not Answered
  • Replies 8 replies
  • Subscribers 0 subscribers
  • Views 1197 views
  • Users 0 members are here
Options
Suggested

[7.901][BUG][FIXED] Site-to-Site VPN still dead

UrsWeiss
Unfortunately my old thread was closed, but the problem is still not fixed.

Old thread:
https://community.sophos.com/products/unified-threat-management/astaroorg/f/102/t/69222

Now tried to manually create the VPN with RSA keys. No chance to get it working.

Attached some logs from the V7.5 side. Looks still like the RSA key is wrong. No idea why. Also tried it after 7.901 updated.

After update, the key seems to be (re)geretated correct, right? (The perl snipped does not change anything now)
Parents
  • 0
    Hi Whity,

    I had this exact problem using a V8 Beta -> V7.504 ipsec site site tunnel. The problem was indeed the RSA key on the v8 box being mangled.

    The first fix from d12k simply broke the ipsec daemon all together, but the second, perl based one totally solved the problem for me, i just pasted that into the command line, and re-copied the public key via webadmin (did NOT hit apply to regenerate it) into my v7 box, and it was all good again. (copy n paste all lines at once and hit enter)

    perl -e 'use MIME::Base64;
    my $cc = "/usr/local/bin/confd-client.plx";
    my $ref = qx($cc get ipsec local_rsa);
    $ref =~ s/.*(REF_.{10}).*/\1/;
    my $obj = qx($cc get_object ${ref});
    $obj =~ s/get_object returned//;
    $obj =~ s/0x00/0x/g;
    $obj =~ /Modulus: 0x([0-9a-f]*)/;
    my $hex = "0103$1";
    my $pubkey = "0s". encode_base64(pack("H". length($hex), $hex), "");
    $obj =~ s/0s[0-9a-zA-z\\/+=]*/$pubkey/;
    qx($cc set_object "$obj");'                      

    Let me know if this fixes your issue, again, nothing changed ever on the V7 box, i just made the command line cut n paste, hit enter, waited 5 seconds, went into webadmin, grabbed the public rsa key out of the window and put it into the v7 remote gateway box for the RSA key.
Reply
  • 0
    Hi Whity,

    I had this exact problem using a V8 Beta -> V7.504 ipsec site site tunnel. The problem was indeed the RSA key on the v8 box being mangled.

    The first fix from d12k simply broke the ipsec daemon all together, but the second, perl based one totally solved the problem for me, i just pasted that into the command line, and re-copied the public key via webadmin (did NOT hit apply to regenerate it) into my v7 box, and it was all good again. (copy n paste all lines at once and hit enter)

    perl -e 'use MIME::Base64;
    my $cc = "/usr/local/bin/confd-client.plx";
    my $ref = qx($cc get ipsec local_rsa);
    $ref =~ s/.*(REF_.{10}).*/\1/;
    my $obj = qx($cc get_object ${ref});
    $obj =~ s/get_object returned//;
    $obj =~ s/0x00/0x/g;
    $obj =~ /Modulus: 0x([0-9a-f]*)/;
    my $hex = "0103$1";
    my $pubkey = "0s". encode_base64(pack("H". length($hex), $hex), "");
    $obj =~ s/0s[0-9a-zA-z\\/+=]*/$pubkey/;
    qx($cc set_object "$obj");'                      

    Let me know if this fixes your issue, again, nothing changed ever on the V7 box, i just made the command line cut n paste, hit enter, waited 5 seconds, went into webadmin, grabbed the public rsa key out of the window and put it into the v7 remote gateway box for the RSA key.
Children
No Data
Cookie Information Banner