Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 712 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Astaro 6.304 - Nortel VPN trouble

Joffer
I'm having trouble with a VPN between our Astaro 6.304 and a Nortel Contivity 1700.

It's established fine and sometimes it renegotiate fine, but most of the time it failes, and we have to restart it manually for it to get up.

From the log I can see that it suddenly has two IPsec tunnels open. The traffic goes in one tunnel and out the other, so there are a mismatch in the trafficflow.

Does anyone know what can cause this? I've got over 20 VPN tunnels that works just fine.

When I get problems, I find two 'EVENT_SA_REPLACE' lines in the VPN status log, instead of one, or one EVENT_SA_REPLACE and one EVENT_SA_EXPIRE.


This thread was automatically locked due to age.
Parents
  • 0
    My pingtest through the tunnel just failed. My logs show this:

    000 #1992: "S_VPNX_0":500 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 24865s
    000 #1992: "S_VPNX_0" esp.254eee6a@ esp.556df233@ tun.1aa0@ tun.1a9f@
    000 #1989: "S_VPNX_0":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 24066s; lastdpd=19s(seq in:0 out:0)
    000 #2001: "S_VPNX_0":500 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 28469s; newest IPSEC; eroute owner
    000 #2001: "S_VPNX_0" esp.c18dda82@ esp.556df239@ tun.1aac@ tun.1aab@
    000 #2000: "S_VPNX_0":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 27848s; newest ISAKMP; lastdpd=5s(seq in:10347 out:0)
Reply
  • 0
    My pingtest through the tunnel just failed. My logs show this:

    000 #1992: "S_VPNX_0":500 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 24865s
    000 #1992: "S_VPNX_0" esp.254eee6a@ esp.556df233@ tun.1aa0@ tun.1a9f@
    000 #1989: "S_VPNX_0":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 24066s; lastdpd=19s(seq in:0 out:0)
    000 #2001: "S_VPNX_0":500 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 28469s; newest IPSEC; eroute owner
    000 #2001: "S_VPNX_0" esp.c18dda82@ esp.556df239@ tun.1aac@ tun.1aab@
    000 #2000: "S_VPNX_0":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 27848s; newest ISAKMP; lastdpd=5s(seq in:10347 out:0)
Children
  • 0 in reply to Joffer
    We have the same problem after migration from ASL 5 to 6 in April 2007. 
    Since then the Nortel Side acknowledged that another VPN-Device was created (as figured above) and the packets are trapped in the second unvalid Nortel VPN device. 
    Astaro Support could not provide a workaround until today and even with dead peer detection turned off packets are trapped in Nortels invalid VPN device periodically for 5 minutes.
    Did anybody fix that problem?
Cookie Information Banner