Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 1688 views
  • Users 0 members are here
Options
Suggested

[7.903][BUG][FIXED] IPSec site to site VPN fails (cluster active/active)

darrenl
Hi,

The IPSec site to site VPN's no longer work after moving to a clustered environment.  I deleted and recreated the VPN details and no improvement. 
Created a SSL site to site and that connects OK.

Extract from the IPSec log file shows the following error:

2010:04:24-16:17:30 mercury-3 ipsec_starter[6727]: no default route - cannot cope with %defaultroute!!!
2010:04:24-16:17:30 mercury-3 pluto[6729]: added connection description "S_REF_CJNBXnBlTA_0"
2010:04:24-16:17:30 mercury-3 pluto[6729]: forgetting secrets
2010:04:24-16:17:30 mercury-3 pluto[6729]: loading secrets from "/etc/ipsec.secrets"
2010:04:24-16:17:30 mercury-3 pluto[6729]:   loaded shared key for X.X.X.X Y.Y.Y.Y 
2010:04:24-16:17:30 mercury-3 pluto[6729]:   loaded private key from 'REF_IkijnKVcwf.pem'
2010:04:24-16:17:30 mercury-3 pluto[6729]:   loaded shared key for X.X.X.X Y.Y.Y.Y
2010:04:24-16:17:30 mercury-3 pluto[6729]: loading ca certificates from '/etc/ipsec.d/cacerts'
2010:04:24-16:17:30 mercury-3 pluto[6729]:   loaded ca certificate from '/etc/ipsec.d/cacerts/R***.pem'
2010:04:24-16:17:30 mercury-3 pluto[6729]: loading aa certificates from '/etc/ipsec.d/aacerts'
2010:04:24-16:17:30 mercury-3 pluto[6729]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
2010:04:24-16:17:30 mercury-3 pluto[6729]: loading attribute certificates from '/etc/ipsec.d/acerts'
2010:04:24-16:17:30 mercury-3 pluto[6729]: Changing to directory '/etc/ipsec.d/crls'
2010:04:24-16:17:30 mercury-1 ipsec_starter[5555]: no default route - cannot cope with %defaultroute!!!
2010:04:24-16:17:30 mercury-1 pluto[5557]: added connection description "S_REF_CJNBXnBlTA_0"
2010:04:24-16:17:30 mercury-1 pluto[5557]: forgetting secrets
2010:04:24-16:17:30 mercury-1 pluto[5557]: loading secrets from "/etc/ipsec.secrets"
2010:04:24-16:17:30 mercury-1 pluto[5557]:   loaded shared key for X.X.X.X Y.Y.Y.Y
2010:04:24-16:17:30 mercury-1 pluto[5557]:   loaded private key from 'REF_IkijnKVcwf.pem'
2010:04:24-16:17:30 mercury-1 pluto[5557]:   loaded shared key for X.X.X.X Y.Y.Y.Y 
2010:04:24-16:17:30 mercury-1 pluto[5557]: loading ca certificates from '/etc/ipsec.d/cacerts'
2010:04:24-16:17:31 mercury-1 pluto[5557]:   loaded ca certificate from '/etc/ipsec.d/cacerts/R***.pem'
2010:04:24-16:17:31 mercury-1 pluto[5557]: loading aa certificates from '/etc/ipsec.d/aacerts'
2010:04:24-16:17:31 mercury-1 pluto[5557]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
2010:04:24-16:17:31 mercury-1 pluto[5557]: loading attribute certificates from '/etc/ipsec.d/acerts'
2010:04:24-16:17:31 mercury-1 pluto[5557]: Changing to directory '/etc/ipsec.d/crls'
Parents
  • 0
    Tried IPSec site to site again (have been using SSL due to IPSec issues).  I couldn't get the IPSec site to site to establish, deleted both IPSec configs and started again, failed and had to revert to SSL.

    I've taken logs from both Astaro servers.

    From the remote Astaro (regular non-clustered single server) you see:
    2010:05:05-23:37:00 atlas pluto[29733]: adding interface eth1/eth1 X.X.X.X:4500
    2010:05:05-23:37:00 atlas pluto[29733]: adding interface eth0/eth0 10.10.20.2:500
    2010:05:05-23:37:00 atlas pluto[29733]: adding interface eth0/eth0 10.10.20.2:4500
    2010:05:05-23:37:00 atlas pluto[29733]: adding interface lo/lo 127.0.0.1:500
    2010:05:05-23:37:00 atlas pluto[29733]: adding interface lo/lo 127.0.0.1:4500
    2010:05:05-23:37:00 atlas pluto[29733]: adding interface lo/lo ::1:500
    2010:05:05-23:37:00 atlas pluto[29733]: loading secrets from "/etc/ipsec.secrets"
    2010:05:05-23:37:00 atlas pluto[29733]: loaded shared key for X.X.X.X X.X.X.X
    2010:05:05-23:37:00 atlas pluto[29733]: added connection description "S_Mercury"
    2010:05:05-23:37:00 atlas pluto[29733]: "S_Mercury" #1: initiating Main Mode

    From the local cluster you get:

    2010:05:05-23:44:17 mercury-2 ipsec_starter[5665]: no default route - cannot cope with %defaultroute!!!
    2010:05:05-23:44:17 mercury-2 pluto[5667]: added connection description "S_Aries"
    2010:05:05-23:44:17 mercury-2 pluto[5667]: forgetting secrets
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loading secrets from "/etc/ipsec.secrets"
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loaded shared key for X.X.X.X X.X.X.X
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loaded private key from 'iPhoneVPN Cert.pem'
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loaded shared key for X.X.X.X X.X.X.X
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loading ca certificates from '/etc/ipsec.d/cacerts'
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loading aa certificates from '/etc/ipsec.d/aacerts'
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loading attribute certificates from '/etc/ipsec.d/acerts'
    2010:05:05-23:44:17 mercury-2 pluto[5667]: Changing to directory '/etc/ipsec.d/crls'
    2010:05:05-23:44:18 mercury-1 ipsec_starter[5496]: no default route - cannot cope with %defaultroute!!!
    2010:05:05-23:44:18 mercury-1 pluto[5498]: added connection description "S_Aries"
    2010:05:05-23:44:18 mercury-1 pluto[5498]: forgetting secrets
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loading secrets from "/etc/ipsec.secrets"
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loaded shared key for X.X.X.X X.X.X.X
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loaded private key from 'iPhoneVPN Cert.pem'
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loaded shared key for X.X.X.X X.X.X.X
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loading ca certificates from '/etc/ipsec.d/cacerts'
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loading aa certificates from '/etc/ipsec.d/aacerts'
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loading attribute certificates from '/etc/ipsec.d/acerts'
    2010:05:05-23:44:18 mercury-1 pluto[5498]: Changing to directory '/etc/ipsec.d/crls'
Reply
  • 0
    Tried IPSec site to site again (have been using SSL due to IPSec issues).  I couldn't get the IPSec site to site to establish, deleted both IPSec configs and started again, failed and had to revert to SSL.

    I've taken logs from both Astaro servers.

    From the remote Astaro (regular non-clustered single server) you see:
    2010:05:05-23:37:00 atlas pluto[29733]: adding interface eth1/eth1 X.X.X.X:4500
    2010:05:05-23:37:00 atlas pluto[29733]: adding interface eth0/eth0 10.10.20.2:500
    2010:05:05-23:37:00 atlas pluto[29733]: adding interface eth0/eth0 10.10.20.2:4500
    2010:05:05-23:37:00 atlas pluto[29733]: adding interface lo/lo 127.0.0.1:500
    2010:05:05-23:37:00 atlas pluto[29733]: adding interface lo/lo 127.0.0.1:4500
    2010:05:05-23:37:00 atlas pluto[29733]: adding interface lo/lo ::1:500
    2010:05:05-23:37:00 atlas pluto[29733]: loading secrets from "/etc/ipsec.secrets"
    2010:05:05-23:37:00 atlas pluto[29733]: loaded shared key for X.X.X.X X.X.X.X
    2010:05:05-23:37:00 atlas pluto[29733]: added connection description "S_Mercury"
    2010:05:05-23:37:00 atlas pluto[29733]: "S_Mercury" #1: initiating Main Mode

    From the local cluster you get:

    2010:05:05-23:44:17 mercury-2 ipsec_starter[5665]: no default route - cannot cope with %defaultroute!!!
    2010:05:05-23:44:17 mercury-2 pluto[5667]: added connection description "S_Aries"
    2010:05:05-23:44:17 mercury-2 pluto[5667]: forgetting secrets
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loading secrets from "/etc/ipsec.secrets"
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loaded shared key for X.X.X.X X.X.X.X
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loaded private key from 'iPhoneVPN Cert.pem'
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loaded shared key for X.X.X.X X.X.X.X
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loading ca certificates from '/etc/ipsec.d/cacerts'
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loading aa certificates from '/etc/ipsec.d/aacerts'
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
    2010:05:05-23:44:17 mercury-2 pluto[5667]: loading attribute certificates from '/etc/ipsec.d/acerts'
    2010:05:05-23:44:17 mercury-2 pluto[5667]: Changing to directory '/etc/ipsec.d/crls'
    2010:05:05-23:44:18 mercury-1 ipsec_starter[5496]: no default route - cannot cope with %defaultroute!!!
    2010:05:05-23:44:18 mercury-1 pluto[5498]: added connection description "S_Aries"
    2010:05:05-23:44:18 mercury-1 pluto[5498]: forgetting secrets
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loading secrets from "/etc/ipsec.secrets"
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loaded shared key for X.X.X.X X.X.X.X
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loaded private key from 'iPhoneVPN Cert.pem'
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loaded shared key for X.X.X.X X.X.X.X
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loading ca certificates from '/etc/ipsec.d/cacerts'
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loading aa certificates from '/etc/ipsec.d/aacerts'
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
    2010:05:05-23:44:18 mercury-1 pluto[5498]: loading attribute certificates from '/etc/ipsec.d/acerts'
    2010:05:05-23:44:18 mercury-1 pluto[5498]: Changing to directory '/etc/ipsec.d/crls'
Children
No Data
Cookie Information Banner