Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 1854 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site2site astaro 3com

nethole
Has anybody set up vpn site2site between astaro and 3com router 3CRWDR300A-73?
The problem is that several times the tunnel fall down and i have to reboot it or switch off and on the ipsec connection to make it work again.
I think is problems of time out or other, as anybody have had problem like that?
[:S]


This thread was automatically locked due to age.
  • 0
    What''s going on in the log when the connection fails?
  • 0 in reply to BAlfson
    thsi is the logs of the router:

    2009.03.12 13:40:07 IPSec connected : Policy name = CEDI
    2009.03.12 13:40:07 [IKE QM] Responder R2
    2009.03.12 13:40:07 [IKE QM] Responder R1
    2009.03.12 13:40:06 [IKE MM] ISAKMP SA established.
    2009.03.12 13:40:06 [IKE MM] Responder R3
    2009.03.12 13:40:06 [IKE MM] Responder R2
    2009.03.12 13:40:06 [IKE MM] Check in packet and construct out packet! (main_inI1_outR1)
    2009.03.12 13:37:26 [IKE MM] ISAKMP SA established.
    2009.03.12 13:37:26 [IKE MM] Responder R3
    2009.03.12 13:37:26 [IKE MM] Responder R2
    2009.03.12 13:37:26 [IKE MM] Check in packet and construct out packet! (main_inI1_outR1)

    at 13:37 the vpn was down, iven that in the Site-to-Site IPSec tunnel status astaro show the vpn on (green), so i switch off and on the ipsec connection and the tunnel work 13:40:07


    this is the policy of astaro 

    this is the policy of the router 
  • 0 in reply to nethole
    Hi nethole, 

    the PFS settings are not consistent on both boxes. 

    @3com, 
    you have PFS not checked and group set to 2

    @astaro, 
    you have IPSec PFS Group set to 1

    Either change the 3com by enabling PFS and selecting Group 1 or change the astaro and set IPSec PFS Group to none.
    Using PFS is more secure than not using it. 

    i hope that helps, 
    regards
    Gert
  • 0 in reply to Gert Hansen
    first of all thank you for your replay, now i've checked them, i see if the problem persist, if go on i post the astaro logs
  • 0 in reply to nethole
    The problem persist, even with the pfs group anabled, therefore i've disabe this function both in the asg than and in the router, i've disabled also the "IKE keep Alive" in the router and set the time out at 28800 (asg&router), it seems to work properly but after long times (max 24h)the problem become the same.

    I think that the problem append when in the router i see:

    2009.03.25 03:23:25 [IKE MM] Check in packet and construct out packet! (main_inI1_outR1)

    i saw tha in the astaro logs i found:

    2009:03:25-03:22:05 (none) pluto[21671]: "S_REF_AiPlmCauVU_0" #1976: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP to replace #365 {using isakmp#353}
    2009:03:25-03:22:05 (none) pluto[21671]: "S_REF_AiPlmCauVU_0" #1976: You should NOT use insecure ESP algorithms [ESP_DES (64)]!
    2009:03:25-03:22:05 (none) pluto[21671]: "S_REF_AiPlmCauVU_0" #1976: sent QI2, IPsec SA established {ESP=>0xac51258f <>

    S_REF_AiPlmCauVU_0 is the name assigned by astaro to this site2site

    any idea?

    Thanks
  • 0 in reply to nethole
    We no longer can see the pictures of the policies on both ends; can you post new ones? Please [Go advanced] and add them as attachments.
  • 0 in reply to BAlfson
    this is the new configuration

  • 0 in reply to nethole
    as anybody have any idea?