[7.901][BUG][FIXED] Site-to-Site VPN still dead

Attached some logs from the V7.5 side. Looks still like the RSA key is wrong. No idea why. Also tried it after 7.901 updated.

From the log file it looks like one of the ASGs is picking the wrong key. What kind of IPsec connections are active on the ASGs? Could you scan /var/sec/chroot-ipsec/etc/ipsec.secrets for lines starting with ": RSA" an tell me how many of those you have for the V8 and V7?

From the log file it looks like one of the ASGs is picking the wrong key. What kind of IPsec connections are active on the ASGs? Could you scan /var/sec/chroot-ipsec/etc/ipsec.secrets for lines starting with ": RSA" an tell me how many of those you have for the V8 and V7?

Hi d12fk

I have the same issue here. I posted you anonymized content of the ipsec.secrets file.

ipsec.secrets file of my VPN counterpart with V7.504

#
# IPSEC SECRET FILE
#


: RSA {
        # RSA 1024 bits   host.domain.example   Fri Jan 25 20:48:24 2008
        # for signatures only, UNSAFE FOR ENCRYPTION
        #pubkey=********
        Modulus: ********
        PublicExponent: 0x03
        # everything after this point is secret
        PrivateExponent: ********
        Prime1: ********
        Prime2: ********
        Exponent1: ********
        Exponent2: ********
        Coefficient: ********
        }



# if you want to add additional secrets by hand,
# please do below this message

ipsec.secrets file of my own ASG with V7.901. I wonder the 3rd line starting with 87.102.*.*, which is my public IP. The last line with ": RSA REF_..." also differs from V7 Machine.

# /etc/ipsec.secrets - strongSwan IPsec secrets file

87.102.*.* %any : PSK ********
: RSA {
        # RSA 1024 bits   host.domain.example   Fri Jan 25 20:48:24 2008
        # for signatures only, UNSAFE FOR ENCRYPTION
        #pubkey=********
        Modulus: ********
        PublicExponent: 0x03
        # everything after this point is secret
        PrivateExponent: ********
        Prime1: ********
        Prime2: ********
        Exponent1: ********
        Exponent2: ********
        Coefficient: ********
      }
: RSA REF_********.pem

Maybe this helps finding the issue. I'm Astaro employee too, so if you need access to my ASG, contact me ;o)

I have the same issue here. I posted you anonymized content of the ipsec.secrets file.

ipsec.secrets file of my own ASG with V7.901. I wonder the 3rd line starting with 87.102.*.*, which is my public IP. The last line with ": RSA REF_..." also differs from V7 Machine.

# /etc/ipsec.secrets - strongSwan IPsec secrets file



87.102.*.* %any : PSK ********

: RSA {

        # RSA 1024 bits   host.domain.example   Fri Jan 25 20:48:24 2008

        # for signatures only, UNSAFE FOR ENCRYPTION

        #pubkey=********

        Modulus: ********

        PublicExponent: 0x03

        # everything after this point is secret

        PrivateExponent: ********

        Prime1: ********

        Prime2: ********

        Exponent1: ********

        Exponent2: ********

        Coefficient: ********

      }

: RSA REF_********.pem

You probably have another IPsec connection using x509 auth enabled. That's where the second RSA secrets entry comes from. So there's nothing wrong with it. The IKE daemon just can't figure out which of the two it should use for you site-to-site connection... and picks the wrong one. =(

I actually planned to fix this already, but since the "bug" was in V7 since the beginning I figured it's nothing people come across very often. Wrong. Will be fixed in the next update. Until then you can just disable the other connection if it's not important or use a strong PSK instead.

I have the same issue here. I posted you anonymized content of the ipsec.secrets file.

ipsec.secrets file of my own ASG with V7.901. I wonder the 3rd line starting with 87.102.*.*, which is my public IP. The last line with ": RSA REF_..." also differs from V7 Machine.

# /etc/ipsec.secrets - strongSwan IPsec secrets file



87.102.*.* %any : PSK ********

: RSA {

        # RSA 1024 bits   host.domain.example   Fri Jan 25 20:48:24 2008

        # for signatures only, UNSAFE FOR ENCRYPTION

        #pubkey=********

        Modulus: ********

        PublicExponent: 0x03

        # everything after this point is secret

        PrivateExponent: ********

        Prime1: ********

        Prime2: ********

        Exponent1: ********

        Exponent2: ********

        Coefficient: ********

      }

: RSA REF_********.pem

You probably have another IPsec connection using x509 auth enabled. That's where the second RSA secrets entry comes from. So there's nothing wrong with it. The IKE daemon just can't figure out which of the two it should use for you site-to-site connection... and picks the wrong one. =(

I actually planned to fix this already, but since the "bug" was in V7 since the beginning I figured it's nothing people come across very often. Wrong. Will be fixed in the next update. Until then you can just disable the other connection if it's not important or use a strong PSK instead.

I actually planned to fix this already, but since the "bug" was in V7 since the beginning I figured it's nothing people come across very often. Wrong.

Wrong again, this indeed was a subtle regression in V8, as it does not write the secrets in the same order than V7 did. This is fixed now and will be included in 7.902. Thanks for helping find this!