Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 3859 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

asg220 to asg220 ipsec issue

dtnws
Hi,

We have been running an ipsec vpn between 2 asg220's using the default triple-des setup for some time with no issue. Last night the log files started filling up at an alarming rate, 150-200mb/per hour, the odd thing is the vpn seems stable so I am rather confused.

ASG1 y.y.y.y (7.306) 

2010:09:16-22:09:04 (none) pluto[4393]: packet from x.x.x.x:4500: ISAKMP version of ISAKMP Message has an unknown value: 0

2010:09:16-22:09:04 (none) pluto[4393]: packet from x.x.x.x:4500: sending notification INVALID_MAJOR_VERSION to x.x.x.x:4500

2010:09:16-22:09:05 (none) pluto[4393]: packet from x.x.x.x:4500: length of ISAKMP Message is smaller than minimum

2010:09:16-22:09:05 (none) pluto[4393]: packet from x.x.x.x:4500: sending notification PAYLOAD_MALFORMED to x.x.x.x:4500

2010:09:16-22:09:05 (none) pluto[4393]: packet from x.x.x.x:4500: length of ISAKMP Message is smaller than minimum

2010:09:16-22:09:05 (none) pluto[4393]: packet from x.x.x.x:4500: sending notification PAYLOAD_MALFORMED to x.x.x.x:4500


ASG2 x.x.x.x (7.104) 

2010:09:16-22:09:05 (none) pluto[3660]: packet from y.y.y.y:500: ISAKMP version of ISAKMP Message has an unknown value: 0

2010:09:16-22:09:05 (none) pluto[3660]: packet from y.y.y.y:500: sending notification INVALID_MAJOR_VERSION to y.y.y.y:500

2010:09:16-22:09:05 (none) pluto[3660]: packet from y.y.y.y:500: ISAKMP version of ISAKMP Message has an unknown value: 0

2010:09:16-22:09:05 (none) pluto[3660]: packet from y.y.y.y:500: sending notification INVALID_MAJOR_VERSION to y.y.y.y:500

2010:09:16-22:09:05 (none) pluto[3660]: packet from y.y.y.y:500: ISAKMP version of ISAKMP Message has an unknown value: 0

2010:09:16-22:09:05 (none) pluto[3660]: packet from y.y.y.y:500: sending notification INVALID_MAJOR_VERSION to y.y.y.y:500


Both asg's just repeat the same thing in the log files between 30 and 100+ times a second

Thanks for your time,
Matt


This thread was automatically locked due to age.
Parents
  • 0
    Are x.x.x.x and y.y.y.y the IP addresses of the respective remote IPsec peer? If not I'd say you're tried to be DOSed. If not it's a rather unknown phenomenon to me. 

    The interesting part is that the IKE daemon on each side has a different understanding of NAT being used. Port 500 - no NAT, 4500 - NAT. 

    I suppose you restarted the connection and the log flooding stopped? If not I'd like to have a look at the machines if I can.
  • 0 in reply to d12fk
    asg1 has the public (no nat) ip of y.y.y.y
    asg2 has the public (no nat) ip of x.x.x.x

    asg1 has an ipsec mtu of 1420
    asg2 has an ipsec mtu of 1500

    The mtu's have been like this for some time (since before I started here) and havn't caused issue before and other vpn's appear to work, should I change both to be 1500 ? will this effect other vpn's ?

    I have turned the vpn in question off on both ends and the packets are still flowing and the logs filling, is their a simple way of just restarting the ipsec daemon or should I go for a system reboot?

    There were no changes made to the dnat or any other setting on the day this problem started

    I have restarted asg1 with the vpn disabled and once the machine is up and running the packets start again between the 2 boxes and the logs start filling even with it disabled, I have re-enabled it and the vpn has built and is now working again but still filling the logs

    asg2 initiates the connection so I'm guessing the problem may lie there somewhere?
Reply
  • 0 in reply to d12fk
    asg1 has the public (no nat) ip of y.y.y.y
    asg2 has the public (no nat) ip of x.x.x.x

    asg1 has an ipsec mtu of 1420
    asg2 has an ipsec mtu of 1500

    The mtu's have been like this for some time (since before I started here) and havn't caused issue before and other vpn's appear to work, should I change both to be 1500 ? will this effect other vpn's ?

    I have turned the vpn in question off on both ends and the packets are still flowing and the logs filling, is their a simple way of just restarting the ipsec daemon or should I go for a system reboot?

    There were no changes made to the dnat or any other setting on the day this problem started

    I have restarted asg1 with the vpn disabled and once the machine is up and running the packets start again between the 2 boxes and the logs start filling even with it disabled, I have re-enabled it and the vpn has built and is now working again but still filling the logs

    asg2 initiates the connection so I'm guessing the problem may lie there somewhere?
Children
  • 0 in reply to dtnws
    asg1 has the public (no nat) ip of y.y.y.y
    asg2 has the public (no nat) ip of x.x.x.x


    The NAT device must be some router on the way then. Does the log say there was NAT detected when the IPsec connection was initiated?

    asg1 has an ipsec mtu of 1420
    asg2 has an ipsec mtu of 1500

    The mtu's have been like this for some time (since before I started here) and havn't caused issue before and other vpn's appear to work, should I change both to be 1500 ? will this effect other vpn's ?


    Yes, it will. And setting it to 1500 is always wrong. All large IP packets going through the tunnel will need to be fragmented. While this does not break anything it will limit the throughput as large packets going from ASG2 to ASG1 have to be split, encrypted separately  and decrypted separately and then reassembled on the tunnel endpoints. 1420 is a save default  value for the tunnel MTU. If you really need a higher one you can calculate the maximum:

      Physical Interface MTU - IP header size - (ESP header + authenticator + padding size)

    The ESP size depends on the IPsec policy algorithms you chose.

    I have turned the vpn in question off on both ends and the packets are still flowing and the logs filling, is their a simple way of just restarting the ipsec daemon or should I go for a system reboot?


    Make sure you disable any IPsec related service on the ASG: 

      Site-to-site: IPsec
      Remote Access: L2TP, IPsec and Cisco VPN Client

    When all those are off the IKE Daemon will be stopped, you should see that it is in the log.