Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 3682 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

No automatic VPN reconnection?

BarryG
We have an Astaro 6.203 firewall with 8 site-to-site connections to a single Cisco VPN Concentrator.

Last night, we had some outages on the remote end, and this morning, only 2 of the 8 connections were up. Stopping and restarting each connection worked.

Question: How do we get these connections to automatically reconnect?

Thanks,
Barry


This thread was automatically locked due to age.
  • 0
    I bet if you checked the status of the VPN connections which failed to come up, the Astaro end would say that the connection is "trapped". We have seen this same problem when we have multiple IPSec connections between two Astaro machines running version running 6.3xx.

    So far the only workaround we have found to work is to have each connection use a different PSK, that seems to work for now, hopefully it will work for you.

    We opened a trouble ticket with Astaro but they can not duplicate the problem on their end.
  • 0 in reply to drees
    Yes, I noticed they were 'trapped' last time when 2 of the 8 were down. (I didn't look at it this time)

    I'm also talking to support about it now.

    Thanks,
    Barry
  • 0 in reply to BarryG
    OK. They suggested we try different policies for each tunnel, that doesn't work as we found out the hard way, one or more of the connections still get trapped.

    So you can't use RSA keys for authentication, you have to use PSKs.

    I think one of the other status' we'd see was "prospective erouted" when a connection hung.
  • 0 in reply to drees
    Support says V7 should work better as it will support multiple subnets through one VPN connection.

    Barry
  • 0 in reply to BarryG
    Support says V7 should work better as it will support multiple subnets through one VPN connection.
    That has been their standard response (your issue won't be fixed in this version) to us for any bugs we have been finding in V6 for the past year or longer. [:(] Our list of outstanding bugs gets longer and longer...

    Did they at least tell you when V7 is expected?

    My earlier suggested workaround should work until V7 does get released (whenever that is).
  • 0 in reply to drees
    Having a different PSK for each 'connection' would be a pain for us as we only have 1 connection on the Cisco end, so we'd have to create 7 more there, and redo 7 on ASL...

    Unless this gets worse, I'm going to leave it alone.

    Sounds like Beta in Nov, release Dec, but that's unofficial of course.

    Barry
  • 0 in reply to BarryG
    It's a pain either way to setup and configure 7 different keys whether or not you're running Cisco or Astaro on the other end.

    Thanks for the info on V7.

    -Dave
  • 0 in reply to drees
    We're thinking of upgrading our production firewall to v7 sometime soon... can anyone confirm that the VPN connections work better as far as automatically reconnecting in V7?

    Thanks,
    Barry
  • 0 in reply to BarryG
    I doubt if this will help answer you question, but I have never had an issue with a remote site not reconnecting after losing connectivity(including V6.3) etc.   We are now on V7 and have had a few remote site outages since going to V7 and all tunnels have reestablished successfully.   We have been on V7 for over a month now.

    All tunnels are IPSEC using PSK.

    -Scott
  • 0 in reply to ScottL
    Consider yourself lucky, Scott.

    BTW, my earlier suggestions to use different PSKs doesn't fix the problem with reconnecting on v6, the VPNs still occasionally get stuck so we've gone back to RSA keys.

    v7 still appears too buggy for us to deploy in production.
Cookie Information Banner