Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 1684 views
  • Users 0 members are here
Options
Suggested

[7.903][BUG][FIXED] IPSec site to site VPN fails (cluster active/active)

darrenl
Hi,

The IPSec site to site VPN's no longer work after moving to a clustered environment.  I deleted and recreated the VPN details and no improvement. 
Created a SSL site to site and that connects OK.

Extract from the IPSec log file shows the following error:

2010:04:24-16:17:30 mercury-3 ipsec_starter[6727]: no default route - cannot cope with %defaultroute!!!
2010:04:24-16:17:30 mercury-3 pluto[6729]: added connection description "S_REF_CJNBXnBlTA_0"
2010:04:24-16:17:30 mercury-3 pluto[6729]: forgetting secrets
2010:04:24-16:17:30 mercury-3 pluto[6729]: loading secrets from "/etc/ipsec.secrets"
2010:04:24-16:17:30 mercury-3 pluto[6729]:   loaded shared key for X.X.X.X Y.Y.Y.Y 
2010:04:24-16:17:30 mercury-3 pluto[6729]:   loaded private key from 'REF_IkijnKVcwf.pem'
2010:04:24-16:17:30 mercury-3 pluto[6729]:   loaded shared key for X.X.X.X Y.Y.Y.Y
2010:04:24-16:17:30 mercury-3 pluto[6729]: loading ca certificates from '/etc/ipsec.d/cacerts'
2010:04:24-16:17:30 mercury-3 pluto[6729]:   loaded ca certificate from '/etc/ipsec.d/cacerts/R***.pem'
2010:04:24-16:17:30 mercury-3 pluto[6729]: loading aa certificates from '/etc/ipsec.d/aacerts'
2010:04:24-16:17:30 mercury-3 pluto[6729]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
2010:04:24-16:17:30 mercury-3 pluto[6729]: loading attribute certificates from '/etc/ipsec.d/acerts'
2010:04:24-16:17:30 mercury-3 pluto[6729]: Changing to directory '/etc/ipsec.d/crls'
2010:04:24-16:17:30 mercury-1 ipsec_starter[5555]: no default route - cannot cope with %defaultroute!!!
2010:04:24-16:17:30 mercury-1 pluto[5557]: added connection description "S_REF_CJNBXnBlTA_0"
2010:04:24-16:17:30 mercury-1 pluto[5557]: forgetting secrets
2010:04:24-16:17:30 mercury-1 pluto[5557]: loading secrets from "/etc/ipsec.secrets"
2010:04:24-16:17:30 mercury-1 pluto[5557]:   loaded shared key for X.X.X.X Y.Y.Y.Y
2010:04:24-16:17:30 mercury-1 pluto[5557]:   loaded private key from 'REF_IkijnKVcwf.pem'
2010:04:24-16:17:30 mercury-1 pluto[5557]:   loaded shared key for X.X.X.X Y.Y.Y.Y 
2010:04:24-16:17:30 mercury-1 pluto[5557]: loading ca certificates from '/etc/ipsec.d/cacerts'
2010:04:24-16:17:31 mercury-1 pluto[5557]:   loaded ca certificate from '/etc/ipsec.d/cacerts/R***.pem'
2010:04:24-16:17:31 mercury-1 pluto[5557]: loading aa certificates from '/etc/ipsec.d/aacerts'
2010:04:24-16:17:31 mercury-1 pluto[5557]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
2010:04:24-16:17:31 mercury-1 pluto[5557]: loading attribute certificates from '/etc/ipsec.d/acerts'
2010:04:24-16:17:31 mercury-1 pluto[5557]: Changing to directory '/etc/ipsec.d/crls'
  • 0 
    Astaro Beta Report

    --------------------------------

    Version: 7.903

    Type: BUG

    State: MERGED/FIXED

    Reporter: darrenl+++

    Contributor: 

    MantisID: 13527

    Target version: 7.911

    Fixed in version: 7.911

    --------------------------------
  • 0
    Hi,

    Tried reactivating IPSec site to site under 7.904 and this now appears to establish a site-to-site session correctly and allows traffic to pass between the cluster and the remote location.

    Cheers,

    Darren
  • 0
    There was probably an error synchronizing the configuration,
    so the ipsec configuration on the Slave node was empty.

    IPSec was not running on Slave but traffic was still distributed...
  • 0
    Tried IPSec site to site again (have been using SSL due to IPSec issues).  I couldn't get the IPSec site to site to establish, deleted both IPSec configs and started again, failed and had to revert to SSL.

    I've taken logs from both Astaro servers.

    From the remote Astaro (regular non-clustered single server) you see:
    2010:05:05-23:37:00 atlas pluto[29733]: adding interface eth1/eth1 X.X.X.X:4500
    2010:05:05-23:37:00 atlas pluto[29733]: adding interface eth0/eth0 10.10.20.2:500
    2010:05:05-23:37:00 atlas pluto[29733]: adding interface eth0/eth0 10.10.20.2:4500
    2010:05:05-23:37:00 atlas pluto[29733]: adding interface lo/lo 127.0.0.1:500
    2010:05:05-23:37:00 atlas pluto[29733]: adding interface lo/lo 127.0.0.1:4500
    2010:05:05-23:37:00 atlas pluto[29733]: adding interface lo/lo ::1:500
    2010:05:05-23:37:00 atlas pluto[29733]: loading secrets from "/etc/ipsec.secrets"
    2010:05:05-23:37:00 atlas pluto[29733]: loaded shared key for X.X.X.X X.X.X.X
    2010:05:05-23:37:00 atlas pluto[29733]: added connection description "S_Mercury"
    2010:05:05-23:37:00 atlas pluto[29733]: "S_Mercury" #1: initiating Main Mode

    From the local cluster you get:

    2010:05:05-23:44:17 mercury-2 ipsec_starter[5665]: no default route - cannot cope with %defaultroute!!!
    2010:05:05-23:44:17 mercury-2 pluto[5667]: added connection description "S_Aries"
    2010:05:05-23:44:17 mercury-2 pluto[5667]: forgetting secrets
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loading secrets from "/etc/ipsec.secrets"
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loaded shared key for X.X.X.X X.X.X.X
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loaded private key from 'iPhoneVPN Cert.pem'
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loaded shared key for X.X.X.X X.X.X.X
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loading ca certificates from '/etc/ipsec.d/cacerts'
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loading aa certificates from '/etc/ipsec.d/aacerts'
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loading attribute certificates from '/etc/ipsec.d/acerts'
    2010:05:05-23:44:17 mercury-2 pluto[5667]: Changing to directory '/etc/ipsec.d/crls'
    2010:05:05-23:44:18 mercury-1 ipsec_starter[5496]: no default route - cannot cope with %defaultroute!!!
    2010:05:05-23:44:18 mercury-1 pluto[5498]: added connection description "S_Aries"
    2010:05:05-23:44:18 mercury-1 pluto[5498]: forgetting secrets
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loading secrets from "/etc/ipsec.secrets"
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loaded shared key for X.X.X.X X.X.X.X
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loaded private key from 'iPhoneVPN Cert.pem'
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loaded shared key for X.X.X.X X.X.X.X
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loading ca certificates from '/etc/ipsec.d/cacerts'
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loading aa certificates from '/etc/ipsec.d/aacerts'
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loading attribute certificates from '/etc/ipsec.d/acerts'
    2010:05:05-23:44:18 mercury-1 pluto[5498]: Changing to directory '/etc/ipsec.d/crls'
  • 0
    Is it possible to enable the ipsec configuration again and get remote?
  • 0
    IPSec site to site now connects OK, IPS is currently turned off as well as I have the cluster config error.
    Remote access setup.
  • 0
    Pluto was not running in Master Mode, therefore the connection was not initiated.
    Fixed the error in the /etc/init.d/ha_mode on bode nodes, so you should not run
    again in this issue...

    Thanks for the report and remote access!
Cookie Information Banner