Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 9081 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

site2site VPN and remote access stopped

brk
I am running 8.300.  Today I noticed that my site 2 site VPN and my L2TP (iphone) remote access stopped working for my local astaro.

All I could find strange in the logs for my local machine was packet filter dropping packets from my remote site2site VPN machine.

2012:01:09-00:00:18 brk ulogd[5543]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="0:1d:a2:xx:xx:xx" dstmac="0:11:a:xx:xx:xx" srcip="70.123.XX.XX" dstip="72.183.XX.XX" proto="6" length="64" tos="0x00" prec="0x00" ttl="55" srcport="62942" dstport="36804" tcpflags="SYN" 

To test the packet filter, I added a rule to allow all traffic from the remote machine.  remote_ip -> any -> any.

After this, the packets were still dropping.

Not sure where else to look, I rebooted the machine.

When it came back up, I found the site to site tunnel was up and all was working fine.

Suggestions?


This thread was automatically locked due to age.
Parents
  • 0
    when the interface is disabled, the ipsec.conf file above doesn't exist.  When the interface is re-enabled the ipsec.conf file comes back and matches what it was before.  However, the site2site VPN doesn't reconnect.

    If I disable/re-enable the site2site vpn, then the vpn comes back online without rebooting.  I also find I can connect with the iphone at this point.

    Additional observation - when I disable the interface in the interface tab, the dashboard still says [Up] [Up].  I can confirm the network stopped functioning because my computer external ip address changes (per whatismyip.com website) due to multipath rules.  Re-enable interface and dashboard stays [Up] [Up] and my external ip address changes back.  ipsec doesn't function.  I then tried pulling the network plug.  The interface went to [Up] [Down].  Reconnecting the ethernet, the interface went to [Up] [Up] but ipsec still did not work.

    When ipsec is functioning... if I pull the ethernet cable the tunnel drops.  When I plug it back in it reconnects.


    Here is the output of ipsec status after cycling the enable button on the interface.

    brk:/tmp # ipsec status
    000 "S_REF_gqSeDxincK_0": 72.183.***.***[72.183.***.***]:17/1701...%any[%any]:17/%any==={0.0.0.0/0}; unrouted; eroute owner: #0
    000 "S_REF_gqSeDxincK_0":   newest ISAKMP SA: #0; newest IPsec SA: #0;
    000 "S_REF_gqSeDxincK_1": 72.183.***.***[72.183.***.***]:17/0...%any[%any]:17/%any==={0.0.0.0/0}; unrouted; eroute owner: #0
    000 "S_REF_gqSeDxincK_1":   newest ISAKMP SA: #0; newest IPsec SA: #0;
    000 "S_REF_VOhyqLanfF_0": 209.208.***.***/24===72.183.***.***[72.183.***.***]...70.123.***.XX[70.123.***.XX]===192.168.5.0/24; unrouted; eroute owner: #0
    000 "S_REF_VOhyqLanfF_0":   newest ISAKMP SA: #0; newest IPsec SA: #0;
    000 "S_REF_VOhyqLanfF_1": 192.168.1.0/24===72.183.***.***[72.183.***.***]...70.123.***.XX[70.123.***.***]===192.168.5.0/24; unrouted; eroute owner: #0
    000 "S_REF_VOhyqLanfF_1":   newest ISAKMP SA: #0; newest IPsec SA: #0;
Reply
  • 0
    when the interface is disabled, the ipsec.conf file above doesn't exist.  When the interface is re-enabled the ipsec.conf file comes back and matches what it was before.  However, the site2site VPN doesn't reconnect.

    If I disable/re-enable the site2site vpn, then the vpn comes back online without rebooting.  I also find I can connect with the iphone at this point.

    Additional observation - when I disable the interface in the interface tab, the dashboard still says [Up] [Up].  I can confirm the network stopped functioning because my computer external ip address changes (per whatismyip.com website) due to multipath rules.  Re-enable interface and dashboard stays [Up] [Up] and my external ip address changes back.  ipsec doesn't function.  I then tried pulling the network plug.  The interface went to [Up] [Down].  Reconnecting the ethernet, the interface went to [Up] [Up] but ipsec still did not work.

    When ipsec is functioning... if I pull the ethernet cable the tunnel drops.  When I plug it back in it reconnects.


    Here is the output of ipsec status after cycling the enable button on the interface.

    brk:/tmp # ipsec status
    000 "S_REF_gqSeDxincK_0": 72.183.***.***[72.183.***.***]:17/1701...%any[%any]:17/%any==={0.0.0.0/0}; unrouted; eroute owner: #0
    000 "S_REF_gqSeDxincK_0":   newest ISAKMP SA: #0; newest IPsec SA: #0;
    000 "S_REF_gqSeDxincK_1": 72.183.***.***[72.183.***.***]:17/0...%any[%any]:17/%any==={0.0.0.0/0}; unrouted; eroute owner: #0
    000 "S_REF_gqSeDxincK_1":   newest ISAKMP SA: #0; newest IPsec SA: #0;
    000 "S_REF_VOhyqLanfF_0": 209.208.***.***/24===72.183.***.***[72.183.***.***]...70.123.***.XX[70.123.***.XX]===192.168.5.0/24; unrouted; eroute owner: #0
    000 "S_REF_VOhyqLanfF_0":   newest ISAKMP SA: #0; newest IPsec SA: #0;
    000 "S_REF_VOhyqLanfF_1": 192.168.1.0/24===72.183.***.***[72.183.***.***]...70.123.***.XX[70.123.***.***]===192.168.5.0/24; unrouted; eroute owner: #0
    000 "S_REF_VOhyqLanfF_1":   newest ISAKMP SA: #0; newest IPsec SA: #0;
Children
No Data