Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 7640 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Route Problem

Neel
I have a problem with my vpn connection. This is what it shows as my status on Version 4.022:

000  
000 "Maid_TH_VPN_1": 192.168.5.0/24===80.42.136.130[@adrienmaid.dyndns.org]...82.44.97.155[@neelbhatt.dyndns.org]===192.168.2.100/32
000 "Maid_TH_VPN_1":   CAs: '%any'...'%any'
000 "Maid_TH_VPN_1":   ike_life: 7800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "Maid_TH_VPN_1":   policy: RSASIG+ENCRYPT+TUNNEL+PFS; interface: eth1; unrouted
000 "Maid_TH_VPN_1":   newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0
000 "Maid_TH_VPN_1":   IKE algorithms wanted: 5_000-1-5, flags=-strict
000 "Maid_TH_VPN_1":   IKE algorithms found:  5_192-1_128-5, 
000 "Maid_TH_VPN_1":   ESP algorithms wanted: 12_128-1, ; pfsgroup=5; flags=-strict
000 "Maid_TH_VPN_1":   ESP algorithms loaded: 12_128-1_128, 
000  
000 #1: "Maid_TH_VPN_1" STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 8s
000  

And on the other side which is V5 this is what is shown on my status:

000  
000 "S_Maid_TH_VPN_0": 192.168.5.0/24===82.43.66.77[@neelbhatt.dyndns.org]...80.42.167.202[@adrienmaid.dyndns.org]===192.168.5.0/24
000 "S_Maid_TH_VPN_0":   CAs: '%any'...'%any'
000 "S_Maid_TH_VPN_0":   ike_life: 7800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "S_Maid_TH_VPN_0":   policy: RSASIG+ENCRYPT+TUNNEL+PFS; interface: eth3; unrouted
000 "S_Maid_TH_VPN_0":   newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0
000 "S_Maid_TH_VPN_0":   IKE algorithms wanted: 5_000-1-5, flags=-strict
000 "S_Maid_TH_VPN_0":   IKE algorithms found:  5_192-1_128-5, 
000 "S_Maid_TH_VPN_0":   ESP algorithms wanted: 12_128-1, ; pfsgroup=5; flags=-strict
000 "S_Maid_TH_VPN_0":   ESP algorithms loaded: 12_128-1_128, 
000  
000 #23: "S_Maid_TH_VPN_0" STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 36s
000  

Does anyone have any ideas?

Regards,        
Neel


This thread was automatically locked due to age.
Parents
  • 0
    Sorry Neel, i haven't an answer for you. I have the same problem in one connection of which single i can know of a  side.

    My VPN Status is:

    000  
    000 "S_Ocumad_0": 172.20.0.0/16===192.168.23.4[@berga.ocucat.net]...62.14.234.131===172.16.0.0/16
    000 "S_Ocumad_0":   CAs: '%any'...'%any'
    000 "S_Ocumad_0":   ike_life: 86400s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
    000 "S_Ocumad_0":   policy: RSASIG+ENCRYPT+COMPRESS+TUNNEL; interface: eth1; unrouted
    000 "S_Ocumad_0":   newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0
    000 "S_Ocumad_0":   IKE algorithms wanted: 7_128-2-5, flags=-strict
    000 "S_Ocumad_0":   IKE algorithms found:  7_128-2_160-5, 
    000 "S_Ocumad_0":   ESP algorithms wanted: 12_128-2, flags=-strict
    000 "S_Ocumad_0":   ESP algorithms loaded: 12_128-2_160, 
    000  
    000 #18: "S_Ocumad_0" STATE_MAIN_R1 (sent MR1, expecting MI2); EVENT_RETRANSMIT in 30s
    000 

    it can that the last line indicates to me, but i don't know what.
  • 0 in reply to Serguei
    I have a strong feeling it has something to do with the Packet Filter rules but still not 100% certain, i've even tried to add a static route but still no joy! [:(]

    If anyone can give me a clue as to where i can solve this problem i would be much obliged.

    P.s. I'm new so still trying to get familiar with ASL [;)]

    Thanks Neel
  • 0 in reply to Neel
    I haven't the solution but we can share both progress

    I think so about the filter, and i dump the packets in the external interface:
    # tcpdump -nn -i eth1 |grep 192.168.23.4
    10:14:08.200102 192.168.23.4.500 > 62.14.234.131.500: isakmp: phase 1 ? ident (DF)
    10:14:18.215146 62.14.234.131.500 > 192.168.23.4.500: isakmp: phase 1 I ident (DF)
    10:14:18.215287 192.168.23.4 > 62.14.234.131: icmp: 192.168.23.4 udp port 500 unreachable [tos 0xc0]

    Do you have any similar or i am back to you?
  • 0 in reply to Serguei
    We have a similar problem because on each of the firewall's the packet filter log shows that port 500 is being dropped on both sides and from what you posted, it shows that your port 500 is unreachable too. How do i change this to make it accept?

    regards
    Neel
  • 0 in reply to Neel
    Ok. Maybe we could find the solution when understand the logs.
    Here they are some of mine:

    2004:08:25-13:59:25 berga pluto[7664]: "S_Ocumad_0" #4458: responding to Main Mode
    2004:08:25-13:59:25 berga pluto[7664]: "S_Ocumad_0" #4458: transition from state (null) to state STATE_MAIN_R1
    2004:08:25-13:59:55 berga pluto[7664]: "S_Ocumad_0" #4457: max number of retransmissions (2) reached STATE_MAIN_R1
    2004:08:25-14:00:05 berga pluto[7664]: packet from 62.14.234.131:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
    2004:08:25-14:00:05 berga pluto[7664]: packet from 62.14.234.131:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2004:08:25-14:00:05 berga pluto[7664]: packet from 62.14.234.131:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
    2004:08:25-14:00:05 berga pluto[7664]: "S_Ocumad_0" #4459: responding to Main Mode
    2004:08:25-14:00:05 berga pluto[7664]: "S_Ocumad_0" #4459: transition from state (null) to state STATE_MAIN_R1
    2004:08:25-14:00:23 berga pluto[7664]: "S_Ocumad_0" #4438: max number of retransmissions (20) reached STATE_MAIN_I1. No acceptable response to our first IKE message
    2004:08:25-14:00:23 berga pluto[7664]: "S_Ocumad_0" #4438: starting keying attempt 206 of an unlimited number

    Neel, if you have a very similar logs probably we have the same problem. But any Astaro's guru read this discussion...  [;)]
Reply
  • 0 in reply to Neel
    Ok. Maybe we could find the solution when understand the logs.
    Here they are some of mine:

    2004:08:25-13:59:25 berga pluto[7664]: "S_Ocumad_0" #4458: responding to Main Mode
    2004:08:25-13:59:25 berga pluto[7664]: "S_Ocumad_0" #4458: transition from state (null) to state STATE_MAIN_R1
    2004:08:25-13:59:55 berga pluto[7664]: "S_Ocumad_0" #4457: max number of retransmissions (2) reached STATE_MAIN_R1
    2004:08:25-14:00:05 berga pluto[7664]: packet from 62.14.234.131:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
    2004:08:25-14:00:05 berga pluto[7664]: packet from 62.14.234.131:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2004:08:25-14:00:05 berga pluto[7664]: packet from 62.14.234.131:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
    2004:08:25-14:00:05 berga pluto[7664]: "S_Ocumad_0" #4459: responding to Main Mode
    2004:08:25-14:00:05 berga pluto[7664]: "S_Ocumad_0" #4459: transition from state (null) to state STATE_MAIN_R1
    2004:08:25-14:00:23 berga pluto[7664]: "S_Ocumad_0" #4438: max number of retransmissions (20) reached STATE_MAIN_I1. No acceptable response to our first IKE message
    2004:08:25-14:00:23 berga pluto[7664]: "S_Ocumad_0" #4438: starting keying attempt 206 of an unlimited number

    Neel, if you have a very similar logs probably we have the same problem. But any Astaro's guru read this discussion...  [;)]
Children
No Data
Cookie Information Banner