Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 1 subscriber
  • Views 1056 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Urgent: IPsec interface dropping packets in ASL 3.020

Martin Andersen
First of all, great work on the Webinterface guys! The whole 
setup and administration is very professional.
I've yet to use any firewall interface that has so much effort
put in to making it userfriendly.

That being said, on to my problems:

I've been trying for some time now to get a NET-to-NET VPN up and running,
but have run into issues with ipsec1 dropping packets. Since I cannot see
what causes the interface to exhibit this behaviour, I'm beginning to get
quite frustrated.

I've verified the setup, and tried connecting between a third
ASL box (3.020 also), but to no avail. I've also tried various
means of authentication (using rsasig, secret, etc)

The IPtables rules on both sides have been setup to allow
all traffic in either direction from the external interface
address of the two VPN gateways.

No errors of dropped packets appear in the /var/log/kernel
logfile, they just get lost and appear in /proc/net/dev


usr/local/sbin/ipsec look on the left side gives:

10.0.8.0/24        -> 10.0.1.0/24        => tun0x1004@195.70.182.26 esp0x505254e0@195.70.182.26  (0)
/usr/local/lib/ipsec/look: paste: command not found
esp0x505254e0@195.70.182.26 ESP_3DES_HMAC_MD5: dir=out src=169.207.147.131 iv_bits=64bits iv=0x9fef0fcc911cfade ooowin=64 alen=128 aklen=128 eklen=192 life(c,s,h)=addtime(68082,0,0)
esp0xdd00977b@169.207.147.131 ESP_3DES_HMAC_MD5: dir=in  src=195.70.182.26 iv_bits=64bits iv=0xc5cfdc9a45b06336 ooowin=64 alen=128 aklen=128 eklen=192 life(c,s,h)=addtime(68082,0,0)
tun0x1003@169.207.147.131 IPIP: dir=in  src=195.70.182.26 life(c,s,h)=addtime(68082,0,0)
tun0x1004@195.70.182.26 IPIP: dir=out src=169.207.147.131 life(c,s,h)=addtime(68082,0,0)
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         169.207.147.129 0.0.0.0         UG       40 0          0 eth1
10.0.1.0        169.207.147.129 255.255.255.0   UG       40 0          0 ipsec1
10.0.8.0        0.0.0.0         255.255.255.0   U        40 0          0 eth0
10.0.8.0        0.0.0.0         255.255.255.0   U        40 0          0 ipsec0
169.207.147.128 0.0.0.0         255.255.255.240 U        40 0          0 eth1
169.207.147.128 0.0.0.0         255.255.255.240 U        40 0          0 ipsec1

cat /proc/net/dev on the left side:

 face |bytes    packets errs drop fifo frame compressed multicast|bytes    packets errs drop fifo colls carrier compressed
    lo: 1594888   13199    0    0    0     0          0         0  1594888   13199    0    0    0     0       0
     0
  eth0: 9765955   76870    0    0    0     0          0         0        0       0    0    0    0     0       0
     0
  eth1: 3506732   25981    0    0    0     0          0         0  7364940   18761    0    0    0    55       0
     0
ipsec0:       0       0    0    0    0     0          0         0        0       0    0    0    0     0       0
     0
ipsec1:       0       0    0    0    0     0          0         0        0       0    0 7930    0     0       0
     0
ipsec2:       0       0    0    0    0     0          0         0        0       0    0    0    0     0       0
     0
ipsec3:       0       0    0    0    0     0          0         0        0       0    0    0    0     0       0
     0

(as you'll see - packets are being dropped)

cat /proc/net/ipsec_tncfg on the left side:

ipsec0 -> eth0 mtu=16260(1500) -> 1500
ipsec1 -> eth1 mtu=16260(1500) -> 1500
ipsec2 -> NULL mtu=0(0) -> 0
ipsec3 -> NULL mtu=0(0) -> 0


usr/local/sbin/ipsec look on the right side gives:

10.0.1.0/24        -> 10.0.8.0/24        => tun0x1008@169.207.147.131 esp0xdd00977b@169.207.147.131  (0)
/usr/local/lib/ipsec/look: paste: command not found
esp0x505254e0@195.70.182.26 ESP_3DES_HMAC_MD5: dir=in  src=169.207.147.131 iv_bits=64bits iv=0x076e08da7210d201 ooowin=64
alen=128 aklen=128 eklen=192 life(c,s,h)=addtime(121078,0,0)
esp0xdd00977b@169.207.147.131 ESP_3DES_HMAC_MD5: dir=out src=195.70.182.26 iv_bits=64bits iv=0x656639c7b79deaf4 ooowin=64
alen=128 aklen=128 eklen=192 life(c,s,h)=addtime(121081,0,0)
tun0x1007@195.70.182.26 IPIP: dir=in  src=169.207.147.131 life(c,s,h)=addtime(121078,0,0)
tun0x1008@169.207.147.131 IPIP: dir=out src=195.70.182.26 life(c,s,h)=addtime(121081,0,0)
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         195.70.182.1    0.0.0.0         UG       40 0          0 eth1
10.0.1.0        0.0.0.0         255.255.255.0   U        40 0          0 eth0
10.0.1.0        0.0.0.0         255.255.255.0   U        40 0          0 ipsec0
10.0.3.0        10.0.1.1        255.255.255.0   UG       40 0          0 eth0
10.0.8.0        195.70.182.1    255.255.255.0   UG       40 0          0 ipsec1
195.70.182.0    0.0.0.0         255.255.255.192 U        40 0          0 eth1
195.70.182.0    0.0.0.0         255.255.255.192 U        40 0          0 ipsec1

cat /proc/net/dev on the right side:

Inter-|   Receive                                                |  Transmit
 face |bytes    packets errs drop fifo frame compressed multicast|bytes    packets errs drop fifo colls carrier compressed    lo: 2713936   22683    0    0    0     0          0         0  2713936   22683    0    0    0     0       0          0  eth0:30101105  237894    0    0    0     0          0         0   153746    2712    0    0    0     0       0          0  eth1:10663700  121172    0    0    0     0          0         0 10829191   41398    0    0    0   494       0          0ipsec0:       0       0    0    0    0     0          0         0        0       0    0    0    0     0       0          0
ipsec1:  102864    2628    0   63    0     0          0         0        0       0    0  124    0     0       0          0
ipsec2:       0       0    0    0    0     0          0         0        0       0    0    0    0     0       0          0
ipsec3:       0       0    0    0    0     0          0         0        0       0    0    0    0     0       0          0

cat /proc/net/ipsec_tncfg on the right side:

ipsec0 -> eth0 mtu=16260(1500) -> 1500
ipsec1 -> eth1 mtu=16260(1500) -> 1500
ipsec2 -> NULL mtu=0(0) -> 0
ipsec3 -> NULL mtu=0(0) -> 0


I've also got a complete IPsec barf output, that I can e-mail
if necessary (the output will surely get garbled up when posting 
in a web forum)

Any help would be *greatly* appreciated.


Regards,

// Martin


This thread was automatically locked due to age.
  • 0
    I'm replying to myself here, since it seems that the problem now
    has been resolved. After experimenting a great deal with the 
    3.020 version, seemingly not being able to get an IPsec tunnel
    up between the two networks, I downloaded and tried
    the stable release of ASL.

    I am now in a situation where I'm running the 2.0.19 version 
    of ASL on one side and the devel version 3.020 on the other.

    After looking in /var/log/auth to see if the tunnel was 
    established and the output was any different from the 3.020
    version, I noticed that it basically came to the same point
    in the connection where a Security Association is 
    established between the two gateways --

    2.019 side "left":

    Jan 30 05:25:41 asl Pluto[14891]: | inserting event EVENT_SA_REPLACE, timeout in 28500 seconds for #9
    ->>Jan 30 05:25:41 asl Pluto[14891]: "to-bergen_1" #9: STATE_QUICK_R2: IPsec SA established
    Jan 30 05:25:41 asl Pluto[14891]: | next event EVENT_RETRANSMIT in 4 seconds for #7


    3.020 side "right":

    Jan 30 12:25:23 vpn-gw Pluto[29191]: | inserting event EVENT_SA_REPLACE, timeout in 27978 seconds for #2
    ->>Jan 30 12:25:23 vpn-gw Pluto[29191]: "to-milwaukee_1" #2: STATE_QUICK_I2: sent QI2, IPsec SA established
    Jan 30 12:25:23 vpn-gw Pluto[29191]: | next event EVENT_SHUNT_SCAN in 105 seconds


    This despite the VPN gateway (3.020 version) on the right side saying

    Jan 30 12:25:08 vpn-gw ipsec_setup: ...FreeS/WAN IPsec started
    Jan 30 12:25:11 vpn-gw ipsec__plutorun: 104 "to-milwaukee_1" #1: STATE_MAIN_I1: initiate
    Jan 30 12:25:11 vpn-gw ipsec__plutorun: ...could not start conn "to-milwaukee_1"
    Jan 30 13:30:58 vpn-gw daemon-watcher[394]: Watching superdaemon.pl ALL OK

    ..which persuaded me that *something* was wrong, although
    the SA link was up.

    It seems to me that there is some glitch in the up/down
    scripts in the newest 3.020 version of ASL that incorrectly
    states that it could not establish an IPsec link.
    Am I wrong here?

    As far as I can tell, the communication is up between the two
    networks and all is (for the time being) running well.

    Anyone else that has experienced this in the development
    version?


    Regards,

    // Martin
Unfiltered HTML