Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 2867 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site VPN suddenly not working

TJE
Hi,

I'm hoping someone can please shed some light on the VPN log messages. I have had a site-to-site with an RSA key up and running between two asg's for several weeks and now it suddenly doesn't want to connect. The logs are below. Can someone please give me an english explanation as to what they mean? If you require any more info please let me know. 

Thanks in advance.

Log from one end:

2009:02:11-11:04:52 (none) pluto[2499]: "S_Brisbane > Townsville_0" #1: initiating Main Mode 
2009:02:11-11:05:22 (none) pluto[2499]: "S_Brisbane > Townsville_0" #1: ignoring Vendor ID payload [strongSwan 4.2.3] 
2009:02:11-11:05:22 (none) pluto[2499]: "S_Brisbane > Townsville_0" #1: ignoring Vendor ID payload [Cisco-Unity] 
2009:02:11-11:05:22 (none) pluto[2499]: "S_Brisbane > Townsville_0" #1: received Vendor ID payload [XAUTH] 
2009:02:11-11:05:22 (none) pluto[2499]: "S_Brisbane > Townsville_0" #1: received Vendor ID payload [Dead Peer Detection] 
2009:02:11-11:05:22 (none) pluto[2499]: "S_Brisbane > Townsville_0" #1: received Vendor ID payload [RFC 3947] 
2009:02:11-11:05:22 (none) pluto[2499]: "S_Brisbane > Townsville_0" #1: enabling possible NAT-traversal with method 3 
2009:02:11-11:05:22 (none) pluto[2499]: "S_Brisbane > Townsville_0" #1: NAT-Traversal: Result using RFC 3947: both are NATed 
2009:02:11-11:05:22 (none) pluto[2499]: "S_Brisbane > Townsville_0" #1: we don't have a cert 
2009:02:11-11:05:32 (none) pluto[2499]: "S_Brisbane > Townsville_0" #1: discarding duplicate packet; already STATE_MAIN_I3 
2009:02:11-11:05:52 (none) pluto[2499]: "S_Brisbane > Townsville_0" #1: discarding duplicate packet; already STATE_MAIN_I3 
2009:02:11-11:06:32 (none) pluto[2499]: "S_Brisbane > Townsville_0" #1: max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message 
2009:02:11-11:06:32 (none) pluto[2499]: "S_Brisbane > Townsville_0" #1: starting keying attempt 2 of an unlimited number 
2009:02:11-11:06:32 (none) pluto[2499]: "S_Brisbane > Townsville_0" #2: initiating Main Mode to replace #1 

Log from other end:

2009:02:11-11:05:22 (none) pluto[30367]: "S_Towsville > Brisbane_0" #2: responding to Main Mode 
2009:02:11-11:05:22 (none) pluto[30367]: "S_Towsville > Brisbane_0" #2: NAT-Traversal: Result using RFC 3947: both are NATed 
2009:02:11-11:06:32 (none) pluto[30367]: "S_Towsville > Brisbane_0" #2: max number of retransmissions (2) reached STATE_MAIN_R2


This thread was automatically locked due to age.
  • 0
    Have you tried a reboot already?
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Not yet no. I'll try it this evening.
  • 0 in reply to TJE
    Restarting the ASG didn't help. However, I have put the ASG in to the DMZ on the modem and it has changed things slightly. I now get a lot more in the log files to go on. However, while uploading a cetificate to one end I uploaded a Signing CA to the HQ end from the Branch end and it looked wrong, so I have restored the backup from 2 days ago. Now, although the certificate screen looks ok, the log shows it loading a cert with name that looks like an ID of some desc. Can anyone tell me how to tidy up the cert info (they are only used for the site-to-site in this case) so that each side trusts the other etc......


    Many thanks for your help. HQ Log below:

    HQ:
    2009:02:16-14:05:03 (none) ipsec_starter[7863]: Starting strongSwan 4.2.3 IPsec [starter]... 
    2009:02:16-14:05:03 (none) ipsec_starter[7872]: IP address or index of physical interface changed -> reinit of ipsec interface 
    2009:02:16-14:05:03 (none) pluto[7875]: Starting Pluto (strongSwan Version 4.2.3 THREADS LIBLDAP VENDORID CISCO_QUIRKS) 
    2009:02:16-14:05:03 (none) pluto[7875]: including NAT-Traversal patch (Version 0.6c) 
    2009:02:16-14:05:03 (none) pluto[7875]: ike_alg: Activating OAKLEY_AES_CBC encryption: Ok 
    2009:02:16-14:05:03 (none) pluto[7875]: ike_alg: Activating OAKLEY_BLOWFISH_CBC encryption: Ok 
    2009:02:16-14:05:03 (none) pluto[7875]: ike_alg: Activating OAKLEY_SERPENT_CBC encryption: Ok 
    2009:02:16-14:05:03 (none) pluto[7875]: ike_alg: Activating OAKLEY_SHA2_256 hash: Ok 
    2009:02:16-14:05:03 (none) pluto[7875]: ike_alg: Activating OAKLEY_SHA2_384 hash: Ok 
    2009:02:16-14:05:03 (none) pluto[7875]: ike_alg: Activating OAKLEY_SHA2_512 hash: Ok 
    2009:02:16-14:05:03 (none) pluto[7875]: ike_alg: Activating OAKLEY_TWOFISH_CBC encryption: Ok 
    2009:02:16-14:05:03 (none) pluto[7875]: ike_alg: Activating OAKLEY_TWOFISH_CBC_SSH encryption: Ok 
    2009:02:16-14:05:03 (none) pluto[7875]: Testing registered IKE encryption algorithms: 
    2009:02:16-14:05:03 (none) pluto[7875]: OAKLEY_DES_CBC self-test not available 
    2009:02:16-14:05:03 (none) pluto[7875]: OAKLEY_BLOWFISH_CBC self-test not available 
    2009:02:16-14:05:03 (none) pluto[7875]: OAKLEY_3DES_CBC self-test not available 
    2009:02:16-14:05:03 (none) pluto[7875]: OAKLEY_AES_CBC self-test not available 
    2009:02:16-14:05:03 (none) pluto[7875]: OAKLEY_SERPENT_CBC self-test not available 
    2009:02:16-14:05:03 (none) pluto[7875]: OAKLEY_TWOFISH_CBC self-test not available 
    2009:02:16-14:05:03 (none) pluto[7875]: OAKLEY_TWOFISH_CBC_SSH self-test not available 
    2009:02:16-14:05:03 (none) pluto[7875]: Testing registered IKE hash algorithms: 
    2009:02:16-14:05:03 (none) pluto[7875]: OAKLEY_MD5 hash self-test passed 
    2009:02:16-14:05:03 (none) pluto[7875]: OAKLEY_MD5 hmac self-test passed 
    2009:02:16-14:05:03 (none) pluto[7875]: OAKLEY_SHA hash self-test passed 
    2009:02:16-14:05:03 (none) pluto[7875]: OAKLEY_SHA hmac self-test passed 
    2009:02:16-14:05:03 (none) pluto[7875]: OAKLEY_SHA2_256 hash self-test passed 
    2009:02:16-14:05:03 (none) pluto[7875]: OAKLEY_SHA2_256 hmac self-test passed 
    2009:02:16-14:05:03 (none) pluto[7875]: OAKLEY_SHA2_384 hash self-test passed 
    2009:02:16-14:05:03 (none) pluto[7875]: OAKLEY_SHA2_384 hmac self-test passed 
    2009:02:16-14:05:03 (none) pluto[7875]: OAKLEY_SHA2_512 hash self-test passed 
    2009:02:16-14:05:03 (none) pluto[7875]: OAKLEY_SHA2_512 hmac self-test passed 
    2009:02:16-14:05:03 (none) pluto[7875]: All crypto self-tests passed 
    2009:02:16-14:05:03 (none) pluto[7875]: Using KLIPS IPsec interface code 
    2009:02:16-14:05:03 (none) pluto[7875]: Changing to directory '/etc/ipsec.d/cacerts' 
    2009:02:16-14:05:03 (none) pluto[7875]: loaded CA cert file 'VPN Signing CA.pem' (2966 bytes) 
    2009:02:16-14:05:03 (none) pluto[7875]: loaded CA cert file 'Townsville.pem' (3120 bytes) 
    2009:02:16-14:05:03 (none) pluto[7875]: Changing to directory '/etc/ipsec.d/aacerts' 
    2009:02:16-14:05:03 (none) pluto[7875]: Changing to directory '/etc/ipsec.d/ocspcerts' 
    2009:02:16-14:05:03 (none) pluto[7875]: Changing to directory '/etc/ipsec.d/crls' 
    2009:02:16-14:05:03 (none) pluto[7875]: listening for IKE messages 
    2009:02:16-14:05:03 (none) pluto[7875]: adding interface ipsec0/eth1 10.1.1.1:500 
    2009:02:16-14:05:03 (none) pluto[7875]: adding interface ipsec0/eth1 10.1.1.1:4500 
    2009:02:16-14:05:03 (none) pluto[7875]: loading secrets from "/etc/ipsec.secrets" 
    2009:02:16-14:05:03 (none) pluto[7875]: loaded private key file '/etc/ipsec.d/private/VPN Brisbane VPN.pem' (887 bytes) 
    2009:02:16-14:05:03 (none) pluto[7875]: loaded host cert file '/etc/ipsec.d/hostcerts/x509cert.pem' (3628 bytes) 
    2009:02:16-14:05:03 (none) pluto[7875]: loaded host cert file '/etc/ipsec.d/hostcerts/REF_eHTzKBagHP_d450e92a.pem' (3628 bytes) 
    2009:02:16-14:05:03 (none) pluto[7875]: added connection description "S_Brisbane > Townsville_0" 
    2009:02:16-14:05:03 (none) pluto[7875]: "S_Brisbane > Townsville_0" #1: initiating Main Mode 
    2009:02:16-14:18:13 (none) pluto[7875]: "S_Brisbane > Townsville_0" #1: max number of retransmissions (20) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message 
    2009:02:16-14:18:13 (none) pluto[7875]: "S_Brisbane > Townsville_0" #1: starting keying attempt 2 of an unlimited number 
    2009:02:16-14:18:13 (none) pluto[7875]: "S_Brisbane > Townsville_0" #2: initiating Main Mode to replace #1
  • 0 in reply to TJE
    (had to devide the log up to post it....)

    Branch log below:

    Branch:

    2009:02:16-14:05:00 (none) ipsec_starter[6795]: Starting strongSwan 4.2.3 IPsec [starter]... 
    2009:02:16-14:05:00 (none) ipsec_starter[6804]: IP address or index of physical interface changed -> reinit of ipsec interface 
    2009:02:16-14:05:00 (none) pluto[6807]: Starting Pluto (strongSwan Version 4.2.3 THREADS LIBLDAP VENDORID CISCO_QUIRKS) 
    2009:02:16-14:05:00 (none) pluto[6807]: including NAT-Traversal patch (Version 0.6c) 
    2009:02:16-14:05:00 (none) pluto[6807]: ike_alg: Activating OAKLEY_AES_CBC encryption: Ok 
    2009:02:16-14:05:00 (none) pluto[6807]: ike_alg: Activating OAKLEY_BLOWFISH_CBC encryption: Ok 
    2009:02:16-14:05:00 (none) pluto[6807]: ike_alg: Activating OAKLEY_SERPENT_CBC encryption: Ok 
    2009:02:16-14:05:00 (none) pluto[6807]: ike_alg: Activating OAKLEY_SHA2_256 hash: Ok 
    2009:02:16-14:05:00 (none) pluto[6807]: ike_alg: Activating OAKLEY_SHA2_384 hash: Ok 
    2009:02:16-14:05:00 (none) pluto[6807]: ike_alg: Activating OAKLEY_SHA2_512 hash: Ok 
    2009:02:16-14:05:00 (none) pluto[6807]: ike_alg: Activating OAKLEY_TWOFISH_CBC encryption: Ok 
    2009:02:16-14:05:00 (none) pluto[6807]: ike_alg: Activating OAKLEY_TWOFISH_CBC_SSH encryption: Ok 
    2009:02:16-14:05:00 (none) pluto[6807]: Testing registered IKE encryption algorithms: 
    2009:02:16-14:05:00 (none) pluto[6807]: OAKLEY_DES_CBC self-test not available 
    2009:02:16-14:05:00 (none) pluto[6807]: OAKLEY_BLOWFISH_CBC self-test not available 
    2009:02:16-14:05:00 (none) pluto[6807]: OAKLEY_3DES_CBC self-test not available 
    2009:02:16-14:05:00 (none) pluto[6807]: OAKLEY_AES_CBC self-test not available 
    2009:02:16-14:05:00 (none) pluto[6807]: OAKLEY_SERPENT_CBC self-test not available 
    2009:02:16-14:05:00 (none) pluto[6807]: OAKLEY_TWOFISH_CBC self-test not available 
    2009:02:16-14:05:00 (none) pluto[6807]: OAKLEY_TWOFISH_CBC_SSH self-test not available 
    2009:02:16-14:05:00 (none) pluto[6807]: Testing registered IKE hash algorithms: 
    2009:02:16-14:05:00 (none) pluto[6807]: OAKLEY_MD5 hash self-test passed 
    2009:02:16-14:05:00 (none) pluto[6807]: OAKLEY_MD5 hmac self-test passed 
    2009:02:16-14:05:00 (none) pluto[6807]: OAKLEY_SHA hash self-test passed 
    2009:02:16-14:05:00 (none) pluto[6807]: OAKLEY_SHA hmac self-test passed 
    2009:02:16-14:05:00 (none) pluto[6807]: OAKLEY_SHA2_256 hash self-test passed 
    2009:02:16-14:05:00 (none) pluto[6807]: OAKLEY_SHA2_256 hmac self-test passed 
    2009:02:16-14:05:00 (none) pluto[6807]: OAKLEY_SHA2_384 hash self-test passed 
    2009:02:16-14:05:00 (none) pluto[6807]: OAKLEY_SHA2_384 hmac self-test passed 
    2009:02:16-14:05:00 (none) pluto[6807]: OAKLEY_SHA2_512 hash self-test passed 
    2009:02:16-14:05:00 (none) pluto[6807]: OAKLEY_SHA2_512 hmac self-test passed 
    2009:02:16-14:05:00 (none) pluto[6807]: All crypto self-tests passed 
    2009:02:16-14:05:00 (none) pluto[6807]: Using KLIPS IPsec interface code 
    2009:02:16-14:05:00 (none) pluto[6807]: Changing to directory '/etc/ipsec.d/cacerts' 
    2009:02:16-14:05:00 (none) pluto[6807]: loaded CA cert file 'VPN Signing CA (Mon Feb 16 10:37:37 2009).pem' (3120 bytes) 
    2009:02:16-14:05:00 (none) pluto[6807]: loaded CA cert file 'VPN Signing CA.pem' (2958 bytes) 
    2009:02:16-14:05:00 (none) pluto[6807]: loaded CA cert file 'Brisbane.pem' (2966 bytes) 
    2009:02:16-14:05:00 (none) pluto[6807]: Changing to directory '/etc/ipsec.d/aacerts' 
    2009:02:16-14:05:00 (none) pluto[6807]: Changing to directory '/etc/ipsec.d/ocspcerts' 
    2009:02:16-14:05:00 (none) pluto[6807]: Changing to directory '/etc/ipsec.d/crls' 
    2009:02:16-14:05:00 (none) pluto[6807]: listening for IKE messages 
    2009:02:16-14:05:00 (none) pluto[6807]: adding interface ipsec0/eth1 10.2.1.1:500 
    2009:02:16-14:05:00 (none) pluto[6807]: adding interface ipsec0/eth1 10.2.1.1:4500 
    2009:02:16-14:05:00 (none) pluto[6807]: loading secrets from "/etc/ipsec.secrets" 
    2009:02:16-14:05:00 (none) pluto[6807]: added connection description "S_Towsville > Brisbane_0" 
    2009:02:16-14:05:00 (none) pluto[6807]: "S_Towsville > Brisbane_0" #1: initiating Main Mode 
    2009:02:16-14:05:03 (none) pluto[6807]: packet from x.x.x.x: ignoring Vendor ID payload [strongSwan 4.2.3] 
    2009:02:16-14:05:03 (none) pluto[6807]: packet from x.x.x.x:500: ignoring Vendor ID payload [Cisco-Unity] 
    2009:02:16-14:05:03 (none) pluto[6807]: packet from x.x.x.x:500: received Vendor ID payload [XAUTH] 
    2009:02:16-14:05:03 (none) pluto[6807]: packet from x.x.x.x:500: received Vendor ID payload [Dead Peer Detection] 
    2009:02:16-14:05:03 (none) pluto[6807]: packet from x.x.x.x:500: received Vendor ID payload [RFC 3947] 
    2009:02:16-14:05:03 (none) pluto[6807]: packet from x.x.x.x:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] 
    2009:02:16-14:05:03 (none) pluto[6807]: packet from x.x.x.x:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] 
    2009:02:16-14:05:03 (none) pluto[6807]: packet from x.x.x.x:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] 
    2009:02:16-14:05:03 (none) pluto[6807]: packet from x.x.x.x:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00] 
    2009:02:16-14:05:03 (none) pluto[6807]: "S_Towsville > Brisbane_0" #2: responding to Main Mode
Cookie Information Banner