Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 2119 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN tunnels not working after adding new tunnel

William Beatty
I created a new IPSec Roadwarrior tunnel, using a PSK.  I created a new PSK for this tunnel.  After I made it active, all the tunnels, except for those that had static IP's on both ends dropped and would not reconnect.

I have 10 IPSec tunnels.  2 of them have the static IP's at both ends.  The rest have dynamic at the remote end.  I tried restarting the tunnels at the remote end and I was getting authentication errors as if the PSK was not matching the one at my end.  In the log on the main firewall, I was getting this message:

"multiple ipsec.secrets entries with distinct secrets match endpoints: first secret used"

I looked at the remote keys and found that the new PSK was listed before the PSK used in the other connections.  I removed it and all the dynamic tunnels came up!!

Why is this??  Why would the static tunnels use the correct key and the dynamic ones would not even though is was specified in the connection?  Why was it using the first PSK listed when it was not supposed to?

I was on Astaro 3.212 when this happened.  I since updated it to 3.216 to see if that would fix the problem and it did not.  Could anyone give me an answer to this one??

thanks


This thread was automatically locked due to age.
  • 0 in reply to oliver.desch
    ahhh...ok, thanks...thought I was losing it 

    I will take a look at X509
  • 0
    William Beatty,

    that is a well known problem with dynamic endpoints.
    You would have to use the same PSK for all your
    roadwarriors (the first key found in the list matches for 
    Any). I know that is not practicable, therefore
    we have implemented X.509 certificate based authentication!

    You'll find related howtos at http://docs.astaro.com/docs_v3/vpn.

    read you
    o|iver
  • 0 in reply to William Beatty
    Well Oliver, I experience a similar behavior with X.509 certificates! Here's what happens:
    I have two static LAN-LAN connections running fine with one RoadWarrior tunnel, all using X.509 certificates and working well.

    I then add a second RoadWarrior tunnel and I assign a certificate to it and select 'save' and 'enable'. All well so far.

    However, if I then edit the newly created RoadWarrior definition, I see that in the selected keys window, there are TWO certificates visible on ONE LINE! (so not two valid certificates on two separate lines!). The tunnel won't work. 

    I tried different ways of deletion and redefinition of the tunnels but the same behavior keeps coming back all the time. A reboot also doesn't help. I have not yet tried completely deleting the CA and all certificates since this would cause quite an impact as you might understand.

    I am running 3.216. Any idea's?
  • 0 in reply to Palantir
    Palantir,

    if that behaviour is reproducable I would be interested
    in analyzing the problem on your site. You could contact
    me at support@astaro.com.

    read you 
    o|iver
  • 0 in reply to oliver.desch
    Hi Oliver,

    What do you do if you have to use virtual ip addresses for NAT-T?  Because then you can only have one client connected at any one time, the LAN where the clients connect to needs to be able to communicate back to the clients via their Virtual IP. Is this by design or a problem? We are about to deploy Sentinel accross a large number of clients which will need to be setup for NAT-T and if we can't have more than one virtual ip address we are going to have issues setting it up. 

    Regards
    Michael  
  • 0 in reply to Michael_Molnar
    Michael_Molnar,

    as far as I know there is no problem to run multiple clients using NAT-T and virtual IP as long as you authenticate your clients with X.509 certificates.

    Greetings
    cyclops  
Cookie Information Banner