Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1441 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC dropping after 3.2.11??

pablito
Since updating to 3.2.11 from 3.2.10 my ASL-ASL tunnels drop after a while and I see "%hold" or "%trap" on the client side.  These are net-net tunnels and has been working nicely until the last update.

Yesterday I started seeing the "not enough memory" errors but not today.

When the tunnels drop I can't connect to the remote Webmin on the public side, I have to SSH to the DMZ and port forward backwards to the DMZ side of ASL.  I then stop IPSEC and start it back.  The tunnels come back up at that time.

Ideas???


This thread was automatically locked due to age.
Parents
  • 0
    ive have the same problem...after innstalling the latest update my net-to-net vpn falls down all the time..!!  [:$]  

    Hope someone have an solution to this!!
  • 0 in reply to Raptor34
    hello all

    i had the same problem after up2date to 3.211.

    I saw in the logs an entry like:

    non-dns-conform-name.

    i changed the non-dns-conforme signs on my VPN connection name (example: _ to -) and then it worked again.

    don't know if it's a bug or if it's a correctet bug after up2date to 3.211. I've nothing seen in the known-issue-list about this ?error?.

    hope this helps a little bit

    greetings
    eldorado
  • 0 in reply to eldorado
    Hi alltogether,

    the problem was related (in eldorados case) that the local
    side is a DSL connection with dynamic assigned IP adresses.
    At the moment when the middleware (it was restarted 
    during the up2date process)creates the ipsec.secrets 
    file the connection wasn't up already, so there was no 
    address available for the vpn. It is maybe not so nice that the 
    middleware in this case puts variables into this file 
    () but it is not a big issue. 

    Maybe you know that the DSL script enables a 900s timer for 
    reconnecting. So waiting 15 min. would have solved 
    the problem, too   [;)]  

    thanks for your kind cooperation
    o|iver
     
     [size="1"][ 12 November 2002, 04:13: Message edited by: oliver.desch ][/size]
  • 0 in reply to oliver.desch
    My problem seems to relate to times when traffic is minimal.  I've been on it all day and it is fine.  But after lunch I had to restart the tunnels again.

    Another problem that might be very different is I'm seeing rule errors where it should be "Drop" or "Reject" where I thought would not log but simply drop.  I put Netbios and other virus/worm ports in a rule that should silently drop.  But my logs are still full of those nasty errors.  

    IPSEC log looks fine until it drops:
    Nov 11 08:07:45 (none) Pluto[14011]: "Schupp__LAN__THG_1" xxx.xxx.xxx.xxx #957: responding to Main Mode from unknown peer xxx.xxx.xxx.xxx 
    Nov 11 08:07:55 (none) Pluto[14011]: "Schupp__LAN_1" #914: max number of retransmissions (20) reached STATE_MAIN_I1.  No acceptable response to our first IKE message
    Nov 11 08:07:55 (none) Pluto[14011]: "Schupp__LAN_1" #914: starting keying attempt 19 of an unlimited number
    Nov 11 08:07:55 (none) Pluto[14011]: "Schupp__LAN_1" #958: initiating Main Mode to replace #914
    Nov 11 08:08:15 (none) Pluto[14011]: "Schupp__LAN__THG_1" xxx.xxx.xxx.xxx  #955: max number of retransmissions (2) reached STATE_MAIN_R1
  • 0 in reply to pablito
    hello o|iver

    oooops, o.k. I've forgot that 2 weeks ago I changed from static to dynamic assignment of the externals NIC IP-Address. that was because my provider don't like static IP settings. but is the problem also relatet if the "dynamic" assignet address is allways the same?

    greetings and sorry again

    eldorado
     
     [size="1"][ 12 November 2002, 09:39: Message edited by: eldorado ][/size]
  • 0 in reply to eldorado
    eldorado,

    no need to excuse! the Problem is that you cannot 
    set it as a fixed address in the interface configuration, don't care too much, we will make
    it more user friendly inthe next version!

    read you
    o|iver
Reply Children
No Data