Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 2046 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site 2 Site VPN breaking using certs.

Simon Shaw
Ver 7.401

I seem to be periodically losing connection on all my Site 2 Site VPNs.
Remote systems are also Ver 7.401
The VPN connections all use certs.

One's using shared keys are not affected.

If I stop and start a cert VPN link it won't come back up.
If I reboot the system, they all come back online.

Any clues?


This thread was automatically locked due to age.
  • 0
    Any comments from Astaro Support?  What do the IPSec logs say?
  • 0 in reply to BAlfson
    I'll wait for it to happen again and post logs, not hit support yet.
  • 0 in reply to BAlfson
    Unfortunately this is still happening, even with 7.402

    I have checked the other post, no good.

    The only way to bring Site2Site VPN's between Astaro devices back up seems to be to reboot the ASL box.

    Is there a way to do this from the command line?  Turning individual IPSEC connections off and back on again doesn't help.

    Before I reboot, I'm seeing this in the IPSEC VPN log:

    2009:05:06-12:36:56 gateway pluto[3895]: "S_REF_sTVkSlvODF_0" #198740: max number of retransmissions (20) reached STATE_MAIN_I1.  No response (or no acceptable response) to our first IKE message
    2009:05:06-12:36:56 gateway pluto[3895]: "S_REF_sTVkSlvODF_0" #198740: starting keying attempt 1094 of an unlimited number
    2009:05:06-12:36:56 gateway pluto[3895]: "S_REF_sTVkSlvODF_0" #198924: initiating Main Mode to replace #198740
    2009:05:06-12:36:56 gateway pluto[3895]: "S_REF_sTVkSlvODF_0" #198739: max number of retransmissions (20) reached STATE_MAIN_I1.  No response (or no acceptable response) to our first IKE message
    2009:05:06-12:36:56 gateway pluto[3895]: "S_REF_sTVkSlvODF_0" #198739: starting keying attempt 1015 of an unlimited number
    2009:05:06-12:36:56 gateway pluto[3895]: "S_REF_sTVkSlvODF_0" #198925: initiating Main Mode to replace #198739
    2009:05:06-12:36:57 gateway pluto[3895]: "S_REF_sTVkSlvODF_0" #198741: max number of retransmissions (20) reached STATE_MAIN_I1.  No response (or no acceptable response) to our first IKE message
    2009:05:06-12:36:57 gateway pluto[3895]: "S_REF_sTVkSlvODF_0" #198741: starting keying attempt 294 of an unlimited number
    2009:05:06-12:36:57 gateway pluto[3895]: "S_REF_sTVkSlvODF_0" #198926: initiating Main Mode to replace #198741
    2009:05:06-12:37:14 gateway pluto[3895]: "S_REF_sTVkSlvODF_0" #198743: max number of retransmissions (20) reached STATE_MAIN_I1.  No response (or no acceptable response) to our first IKE message
    2009:05:06-12:37:14 gateway pluto[3895]: "S_REF_sTVkSlvODF_0" #198743: starting keying attempt 654 of an unlimited number
    2009:05:06-12:37:14 gateway pluto[3895]: "S_REF_sTVkSlvODF_0" #198927: initiating Main Mode to replace #198743
    2009:05:06-12:37:14 gateway pluto[3895]: "S_REF_sTVkSlvODF_0" #198742: max number of retransmissions (20) reached STATE_MAIN_I1.  No response (or no acceptable response) to our first IKE message
    2009:05:06-12:37:14 gateway pluto[3895]: "S_REF_sTVkSlvODF_0" #198742: starting keying attempt 1173 of an unlimited number
    2009:05:06-12:37:14 gateway pluto[3895]: "S_REF_sTVkSlvODF_0" #198928: initiating Main Mode to replace #198742
    2009:05:06-12:37:17 gateway pluto[3895]: "S_REF_mxkQOhxIlS_0" #198745: max number of retransmissions (20) reached STATE_MAIN_I1.  No response (or no acceptable response) to our first IKE message
    2009:05:06-12:37:17 gateway pluto[3895]: "S_REF_mxkQOhxIlS_0" #198745: starting keying attempt 5 of an unlimited number
    2009:05:06-12:37:17 gateway pluto[3895]: "S_REF_mxkQOhxIlS_0" #198929: initiating Main Mode to replace #198745
    2009:05:06-12:37:17 gateway pluto[3895]: "S_REF_EdpdGJXdbq_0" #198744: max number of retransmissions (20) reached STATE_MAIN_I1.  No response (or no acceptable response) to our first IKE message
    2009:05:06-12:37:17 gateway pluto[3895]: "S_REF_EdpdGJXdbq_0" #198744: starting keying attempt 5 of an unlimited number
    2009:05:06-12:37:17 gateway pluto[3895]: "S_REF_EdpdGJXdbq_0" #198930: initiating Main Mode to replace #198744
    2009:05:06-12:37:19 gateway pluto[3895]: "S_REF_oJydNqXrvu_0" #198746: max number of retransmissions (20) reached STATE_MAIN_I1.  No response (or no acceptable response) to our first IKE message
    2009:05:06-12:37:19 gateway pluto[3895]: "S_REF_oJydNqXrvu_0" #198746: starting keying attempt 5 of an unlimited number
    2009:05:06-12:37:19 gateway pluto[3895]: "S_REF_oJydNqXrvu_0" #198931: initiating Main Mode to replace #198746
  • 0 in reply to Simon Shaw
    PS: This only happens on connections using certificates.
  • 0 in reply to Simon Shaw
    Astaro support fixed the issue.

    Turns out an IM/P2P rule was blocking restarts of the IPSEC connections.
    Adding the remote gateways to IM/P2P exception list fixed the problem.
  • 0 in reply to Simon Shaw
    Thanks for posting the answer, Simon.

    I just turned this into a broader suggestion about IPS on Feature.Astaro.com: Auto-configure IPS where possible.

    Cheers - Bob
  • 0
    Hello guys, 

    we have the same problem [:(]

    can you do a screenshot where we have to do the changes!?

    Thx a lot