l2tp/ipsec vpn broken after ASG8 install

If you watch the IPsec live log, you should be able to see the L2TP connection attempt.  Check IPS and the Packet Filter log - anything there?

Cheers - Bob

ahh, right i am getting dropped by the packet filter even though i have a packet rule, packet filter log says "Default DROP UDP" to half a dozen packets from the vpn client - ipsec log is empty on connection attempt... (IPS live log empty too on attempt)

but i have a packet filter rule of VPN pool (l2tp) - any -> internal network

the packets being dropped though are from the originating client IP address to the ASG220's external IP address - so i guess its being dropped before starting the tunnel..

example drop:


20:44:24 Default DROP UDP 90.***.***.*** : 500 →
195.***.***.*** : 500
len=412 ttl=121 tos=0x00 srcmac=0:c:85:7f:xx:xx  dstmac=0:1a:8c:15:xx:xx

It's difficult to see much from the PF live log.  Let's look at the same line(s) from the full packet filter log.  That there's an "uninvited" port-500 packet hitting your external interface would seem to indicate that the tunnel isn't completing, so let's look at your IPsec log (live log is the same for it), too.

Cheers - Bob

ok, tried at 22.29 to connect...

IPsec log:
2010:07:02-22:29:37 wormhole pluto[5222]: packet from 195.***.***.***:500: Informational Exchange is for an unknown (expired?) SA

this didnt show in the live log - any idea if this helps?

full packet filter log at same time:


2010:07:02-22:29:38 *hostname* ulogd[4001]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="0:c:85:xx:xx:xx" dstmac="0:1a:8c:xx:xx:xx" srcip="90.***.***.***" dstip="195.***.***.***" proto="17" length="412" tos="0x00" prec="0x00" ttl="121" srcport="500" dstport="500" 
2010:07:02-22:29:40 *hostname* ulogd[4001]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="0:c:85:xx:xx:xx" dstmac="0:1a:8c:xx:xx:xx" srcip="90.***.***.***" dstip="195.***.***.***" proto="17" length="412" tos="0x00" prec="0x00" ttl="121" srcport="500" dstport="500" 
2010:07:02-22:29:43 *hostname* ulogd[4001]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="0:c:85:xx:xx:xx" dstmac="0:1a:8c:xx:xx:xx" srcip="90.***.***.***" dstip="195.***.***.***" proto="17" length="412" tos="0x00" prec="0x00" ttl="121" srcport="500" dstport="500" 
2010:07:02-22:29:47 *hostname* ulogd[4001]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="0:c:85:xx:xx:xx" dstmac="0:1a:8c:xx:xx:xx" srcip="90.***.***.***" dstip="195.***.***.***" proto="17" length="412" tos="0x00" prec="0x00" ttl="121" srcport="500" dstport="500"

2010:07:02-22:29:37 wormhole pluto[5222]: packet from 195.***.***.***:500: Informational Exchange is for an unknown (expired?) SA

How about the 20 or 30 lines before that?  The PF log confirms the impression from the live log, so the real problem should be visible in the IPsec log.

Cheers - Bob

there wasn't anything before it that looked relevant, but i also have a site-to-site ipsec vpn (which works) as well as the l2tp client,,, so for clarity i thought i would do this:

1) disable the site-to-site ipsec vpn so that it doesn't muddy the log files.
2) clear the log files
3) reboot the asg220 (in case there is anything logged when the services come up)
4) attempt to connect with an l2tp client again
5) look at the logs

so i did the above, 
what i have now is:
the IP SEC VPN log is completely empty (0 bytes displayed)
in the packet filter log there are still a lot of dropped packets for port 500 between client and ASG

I'm starting to tear my hair out :-)

Hmmm, sounds like the L2TP configuration didn't restore correctly.  I think I'd try changing the interface it's defined on, Apply, change back to External, Apply.  If that doesn't work, another restore.  If that doesn't work, then I'd burn a new CD at a lower speed and re-install.  Please let us know how you finally resolved this.

Cheers - Bob

Have been playing (lots)...

if you change the l2tp/ipsec authentication mode to PSK, then enter that PSK on the client - it connects just fine!!!

if you change back to x509 auth selecting the local x509 auth check, then nothing happens, nothing is logged on client connection attempts.

I tried regenerating the signing CA to see if that would resolve things, then made a new client account and installed the new certs on the client - but still no luck..

but... what you do see in the logs when changing from PSK to x509 modes is the following (does this mean the l2tp software has actually just turned off?!?!):

2010:07:04-14:41:20 hostname openl2tpd[13837]: Exiting
2010:07:04-14:41:20 hostname openl2tpd[13837]: Cleaning up before exiting
2010:07:04-14:41:20 hostname openl2tpd[13837]: Unloading plugin /usr/lib/openl2tp/ppp_unix.so
2010:07:04-14:41:20 hostname pluto[13600]: |
2010:07:04-14:41:20 hostname pluto[13600]: | *received whack message
2010:07:04-14:41:20 hostname pluto[13600]: shutting down
2010:07:04-14:41:20 hostname pluto[13600]: forgetting secrets
2010:07:04-14:41:20 hostname pluto[13600]: "S_REF_XojYoaFhcp": deleting connection
2010:07:04-14:41:20 hostname pluto[13600]: "S_REF_XojYoaFhcp": deleting connection
2010:07:04-14:41:20 hostname pluto[13600]: shutting down interface lo/lo ::1
2010:07:04-14:41:20 hostname pluto[13600]: shutting down interface lo/lo 127.0.0.1
2010:07:04-14:41:20 hostname pluto[13600]: shutting down interface lo/lo 127.0.0.1
2010:07:04-14:41:20 hostname pluto[13600]: shutting down interface eth0/eth0 10.0.0.199
2010:07:04-14:41:20 hostname pluto[13600]: shutting down interface eth0/eth0 10.0.0.199
2010:07:04-14:41:20 hostname pluto[13600]: shutting down interface eth1/eth1 195.***.***.***
2010:07:04-14:41:20 hostname pluto[13600]: shutting down interface eth1/eth1 195.***.***.***
2010:07:04-14:41:20 hostname pluto[13600]: shutting down interface eth1/eth1 195.***.***.***
2010:07:04-14:41:20 hostname pluto[13600]: shutting down interface eth1/eth1 195.***.***.***
2010:07:04-14:41:20 hostname pluto[13600]: shutting down interface eth2/eth2 172.16.0.1
2010:07:04-14:41:20 hostname pluto[13600]: shutting down interface eth2/eth2 172.16.0.1
2010:07:04-14:41:20 hostname pluto[13600]: shutting down interface tun0/tun0 10.242.2.1
2010:07:04-14:41:20 hostname pluto[13600]: shutting down interface tun0/tun0 10.242.2.1
2010:07:04-14:41:20 hostname pluto[13600]: shutting down interface ppp0/ppp0 10.242.1.1
2010:07:04-14:41:20 hostname pluto[13600]: shutting down interface ppp0/ppp0 10.242.1.1
2010:07:04-14:41:20 hostname ipsec_starter[13598]: pluto stopped after 20 ms
2010:07:04-14:41:20 hostname ipsec_starter[13598]: ipsec starter stopped

additionally, when you change from x509 back to PSK, you see in the logs all the certs being loaded and OpenL2TP starting... to a layperson it really looks like openl2tp turns off when set to use x509 certs :-(

Hmm, if the PSK works, but not the X509 cert, I'd suspect the certificate isn't consistent with the hostname of the Astaro.  Check as suggested in what I just posted in https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/53864

Cheers - Bob