Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1053 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Having Net-to-Net

Keefers
Hello all;

I am trying to set up a proof of concept net-to-net connection using IPSEC.  the configuration is Astaro 3.207-to-Astaro 3.209 

I followed as closly as I could the document on the subject in http://docs.astaro.org/docs_v3/vpn/Net_to_Net_RSA_Dynamic.pdf

the connection is not happening...

on the screens (both sides) I get;

000 interface ipsec0/eth1 209.150.220.234
000  
000 algorithm ESP encrypt: id=3, name=ESP_3DES
000 algorithm ESP encrypt: id=7, name=ESP_BLOWFISH
000 algorithm ESP encrypt: id=12, name=ESP_AES
000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH
000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5
000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1
000  
000 "HollandGrpRSA__Connection_1": 10.192.192.0/24===209.150.220.234---209.150.220.233...24.221.217.199===192.168.0.0/16
000 "HollandGrpRSA__Connection_1":   ike_life: 7800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "HollandGrpRSA__Connection_1":   policy: RSASIG+ENCRYPT+COMPRESS+TUNNEL+PFS+DISABLEARRIVALCHECK; interface: eth1; trap erouted
000 "HollandGrpRSA__Connection_1":   newest ISAKMP SA: #24; newest IPsec SA: #0; eroute owner: #0
000 "HollandGrpRSA__Connection_1":   ESP algorithms wanted: 3/000-1/000, 3/000-2/000, 
000 "HollandGrpRSA__Connection_1":   ESP algorithms loaded: 3/168-1/128, 3/168-2/160, 
000  
000 #3: "HollandGrpRSA__Connection_1" STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 6944s
000 #1: "HollandGrpRSA__Connection_1" STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 6563s
000 #26: "HollandGrpRSA__Connection_1" STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 6s
000 #24: "HollandGrpRSA__Connection_1" STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 7399s; newest ISAKMP

VPN Routes
  
  0          10.192.192.0/24    -> 192.168.0.0/16     => %trap

 
I get something similar on the other side.  What could I be doing wrong?


This thread was automatically locked due to age.
Parents
  • 0
    Hi Keefers,

    did you check your rules, if everything is set correct (check Filter Live Log).

    Manual says:
      
     
    %trap: The connection is idle and is waiting for a packet. The
    connection is in this state prior to negotiation.
    %hold: The connection is being negotiated. All packets will wait
    until the VPN tunnel is established (UP).
    tun0x133a@233.23.43.1: Messages like these show that the
    tunnel is up. This particular message means that a VPN tunnel
    with ID 0x133a has been established, and the IP address of the
    Remote Endpoint is 233.23.43.1. 
  • 0 in reply to KKnecht
    To test that theory, I opened up the packet filter rules to any-any-allow on both sides and got the same result.

    I looked at the IPSEC/VPN log file and on my side, I see repeated blocks of the following;

    Sep 23 10:12:19 host Pluto[1020]: "MedOpsRSA__Connection_1" #2010: starting keying attempt 1001 of an unlimited number
    Sep 23 10:12:19 host Pluto[1020]: "MedOpsRSA__Connection_1" #2012: initiating Quick Mode RSASIG+ENCRYPT+COMPRESS+TUNNEL+PFS+DISABLEARRIVALCHECK to replace #2010
    Sep 23 10:12:30 host Pluto[1020]: "MedOpsRSA__Connection_1" #2013: cannot respond to IPsec SA request because no connection is known for 192.168.0.0/16===24.221.217.199...209.150.220.234===10.192.192.0/24
    Sep 23 10:12:40 host Pluto[1020]: "MedOpsRSA__Connection_1" #1825: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xdff69f9f (perhaps this is a duplicated packet)
    Sep 23 10:13:00 host Pluto[1020]: "MedOpsRSA__Connection_1" #1825: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xdff69f9f (perhaps this is a duplicated packet)
    Sep 23 10:13:29 host Pluto[1020]: "MedOpsRSA__Connection_1" #2012: max number of retransmissions (2) reached STATE_QUICK_I1

    on the other side, I get something similar like the following;

    Sep 23 10:11:06 asl Pluto[1007]: "HollandGrpRSA__Connection_1" #3922: starting keying attempt 2892 of an unlimited number
    Sep 23 10:11:06 asl Pluto[1007]: "HollandGrpRSA__Connection_1" #3924: initiating Quick Mode RSASIG+ENCRYPT+COMPRESS+TUNNEL+PFS+DISABLEARRIVALCHECK to replace #3922
    Sep 23 10:11:25 asl Pluto[1007]: "HollandGrpRSA__Connection_1" #3736: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x2cc7f19d (perhaps this is a duplicated packet)
    Sep 23 10:12:05 asl Pluto[1007]: "HollandGrpRSA__Connection_1" #3925: cannot respond to IPsec SA request because no connection is known for 10.192.192.0/24===209.150.220.234...24.221.217.199===192.168.1.0/24
    Sep 23 10:12:15 asl Pluto[1007]: "HollandGrpRSA__Connection_1" #3736: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xd19b195e (perhaps this is a duplicated packet)
    Sep 23 10:12:16 asl Pluto[1007]: "HollandGrpRSA__Connection_1" #3924: max number of retransmissions (2) reached STATE_QUICK_I1

    Any more ideas?
  • 0 in reply to Keefers
    If you could submit your settings.....this would help.....as you mention you said you followed the doc as close as you could....this means to me that you may have not done it exactly.......log files are good but it only leads to possability of several possible configuration problems......if you submit your configuration.....it would help....

    Rayzor
  • 0 in reply to Keefers
    Does it make a difference that I am MASQing the subnets behind both on both VPN boxes?
Reply Children
  • 0 in reply to Keefers
    If you could submit your settings.....this would help.....as you mention you said you followed the doc as close as you could....this means to me that you may have not done it exactly.......log files are good but it only leads to possability of several possible configuration problems......if you submit your configuration.....it would help....

    Rayzor