Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 6550 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT-T and IKE rekeying

Kavi
I have VPN net-to-net tunel with one peer nated (two Astaro boxes 5.102). I use RSA keys with FQDN as ID. The VPN is established without any problems, but if the IKE SA expires (7200sec) the VPN is broken. Following messages are recorded every 40 sec in IPSec VPN log:
packet from 193.165.232.148:4500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
packet from 193.165.232.148:4500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
packet from 193.165.232.148:4500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
packet from 193.165.232.148:4500: initial Main Mode message received on 10.0.0.101:4500 but no connection has been authorized with policy=RSASIG
Similar problem was discussed on Open/Swan forum and resolved by a patch (http://lists.virus.org/users-openswan-0410/msg00281.html)
Any sugestions?
Thanks
Karel


This thread was automatically locked due to age.
Parents
  • 0
    I have the same problem with RSA keys if the IKE SA expires... One of the remote site have no public ip address. I use Nat-T option.

    local network---ASL(public IP)- - -INET - - - router(public IP)---ASL(Private IP)---Local network.

    If use PSK authentication of remote Station, then VPN tunel works fine. 

    Mischel
  • 0 in reply to Mischel
    Could you please try with X509? If that's a bug, maybe it does not appear with X509?

    Xeno
  • 0 in reply to Xeno
    X509 = not work-problem, if the IKE SA expires
    RSA  = not work- problem, if the IKE SA expires
    PSK  = work only one VPN, more VPN not work- problem, if the IKE SA expires
  • 0 in reply to Mischel
    How many tunnels do you use on that machine? Are there more than one dynamic endpoints? If so, you cannot use different keys (RSA/PSK) for those connections. Please post more details about the configuration!
    /bagira
  • 0 in reply to bagira
    I tested it with only one active VPN, with X509 cert and then with RSA keys - the same problem. The VPN is etablished without any problem but is broken when IKE Main Mode rekeying is initiated. During this 2 hour period  VPN works fine and also the Quick Mode is initiated and SA is established without error.
    My configuration:
    Local network (central) --- ASL box -- (Public IP) --- Internet ---  (Public IP) --- ADSL modem --- (private IP) --- ASL box --- Local network (branch)

    Now I solved the problem:
    On the central ASL box I set the remote peer address of the branch office as dynamic (even if it is static). 
    Now I have three VPNs from central point to 3 branch offices, two of them  are behind ADSL modem  (NAT) and it works fine for  48 hours. But I thing this is not a correct solution, it can be a bug in ASL.
    Karel
Reply
  • 0 in reply to bagira
    I tested it with only one active VPN, with X509 cert and then with RSA keys - the same problem. The VPN is etablished without any problem but is broken when IKE Main Mode rekeying is initiated. During this 2 hour period  VPN works fine and also the Quick Mode is initiated and SA is established without error.
    My configuration:
    Local network (central) --- ASL box -- (Public IP) --- Internet ---  (Public IP) --- ADSL modem --- (private IP) --- ASL box --- Local network (branch)

    Now I solved the problem:
    On the central ASL box I set the remote peer address of the branch office as dynamic (even if it is static). 
    Now I have three VPNs from central point to 3 branch offices, two of them  are behind ADSL modem  (NAT) and it works fine for  48 hours. But I thing this is not a correct solution, it can be a bug in ASL.
    Karel
Children
Cookie Information Banner