Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 11300 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec VPN Not Loading

claymen
Hey all,

I've recently done a fresh UTM 9 install into my VMWare environment and run into an issue with the IPSec VPN for a site to site link.

I'm using certificate based IPSec due to a dynamic IP on one end, the VPN tunnel came up ok last night and was working this morning till some the service's IP changed. I fixed up the dyndns on the remote end and the tunnel came up ok but then dropped after a few minutes. Looking in the Astaro logs it simply said that pluto had shut down.

I turned that tunnel off and on via both the Astaro and the remote end (note that the remote end is servicing other IPSec tunnels without issue) and recreated the configuration on the Astaro end and it just doesn't do anything. Nothing comes up in the IPSec logs.

Tried a restart of the unit and again nothing started up. My final solution was to roll back to an earlier config and reboot which brought it online. However the same issue has happened again which doesn't make any sense. Nothing appears in the logs and it just doesn't start the tunnel.

It doesn't even list it as trying within the interface (Site to Site VPN main heading). It simply lists "There is no Site-to-site VPN status information available". When it was down this morning at least it showed that there was a tunnel there but down.

Has anyone come across this? I really don't want to have to keep restoring the config and rebooting to fix it but I am a little confused as to why it is failing in this way.


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    It's recommended to NOT use the VM appliance ISO.  Also, what virtual NIC do you have configured for the External interface? VMXNET3 and e1000 are what folks have found to work.

    Cheers - Bob


    Running E1000 NIC's. I've had issues with some appliances and VMXNET3 and tend to use E1000 initially and move to VMXNET3 once stable and then test again.

    Will give it a go with the appliance version and rebuild from scratch but odd to have seen these issues. I had the 8.3 system installed the same way without issue for some time. The move to UTM9 prompted the new VM build from scratch rather than import a backup or in place upgrade. The idea being a clean install should result in less issues.
  • 0
    Rebuilt using the appliance version. Same issue.

    VPN came up for a few minutes then down.

    2012:07:30-18:09:17 beer pluto[11995]: "S_REF_IpsSitcompanyOffic_0" #1: ignoring Vendor ID payload [5b362bc820f60007]
    2012:07:30-18:09:17 beer pluto[11995]: "S_REF_IpsSitcompanyOffic_0" #1: received Vendor ID payload [RFC 3947]
    2012:07:30-18:09:17 beer pluto[11995]: "S_REF_IpsSitcompanyOffic_0" #1: enabling possible NAT-traversal with method 3
    2012:07:30-18:09:17 beer pluto[11995]: "S_REF_IpsSitcompanyOffic_0" #1: ignoring Vendor ID payload [404bf439522ca3f6]
    2012:07:30-18:09:17 beer pluto[11995]: "S_REF_IpsSitcompanyOffic_0" #1: received Vendor ID payload [Dead Peer Detection]
    2012:07:30-18:09:17 beer pluto[11995]: "S_REF_IpsSitcompanyOffic_0" #1: NAT-Traversal: Result using RFC 3947: no NAT detected
    2012:07:30-18:09:17 beer pluto[11995]: "S_REF_IpsSitcompanyOffic_0" #1: we have a cert and are sending it 
    2012:07:30-18:09:17 beer pluto[11995]: "S_REF_IpsSitcompanyOffic_0" #1: ignoring informational payload, type IPSEC_INITIAL_CONTACT
    2012:07:30-18:09:17 beer pluto[11995]: "S_REF_IpsSitcompanyOffic_0" #1: Peer ID is ID_USER_FQDN: 'support@company.com.au'
    2012:07:30-18:09:17 beer pluto[11995]: "S_REF_IpsSitcompanyOffic_0" #1: crl not found
    2012:07:30-18:09:17 beer pluto[11995]: "S_REF_IpsSitcompanyOffic_0" #1: certificate status unknown
    2012:07:30-18:09:17 beer pluto[11995]: "S_REF_IpsSitcompanyOffic_0" #1: Dead Peer Detection (RFC 3706) enabled
    2012:07:30-18:09:17 beer pluto[11995]: "S_REF_IpsSitcompanyOffic_0" #1: ISAKMP SA established
    2012:07:30-18:09:17 beer pluto[11995]: "S_REF_IpsSitcompanyOffic_0" #2: initiating Quick Mode PUBKEY+ENCRYPT+TUNNEL+UP {using isakmp#1}
    2012:07:30-18:09:17 beer pluto[11995]: "S_REF_IpsSitcompanyOffic_0" #2: sent QI2, IPsec SA established {ESP=>0x4c9144b0 
  • 0 in reply to claymen
    Just letting you know you're not alone with IPSEC VPN issues related to V9 migration; I'm working an issue currently that involves SIC (Sophos IPSEC CLient) not connecting to a previously working IPSEC Roadwarrior connection (it worked fine in V8.305)... I have a case open.  I am getting a different error than you are, though, but nonetheless it does point to something being "broken" in V9 or the backup import process (not sure which currently).
  • 0 in reply to BrucekConvergent
    Hey Claymen --- what IPSEC policy are you using?  It seems there is an issue with AES256 / SHA256 currently, try a lower-strength policy.
  • 0 in reply to BrucekConvergent
    Please disregard my comments in this thread -- found the issue with the VPN we were fighting with --- a change in the VPN service that does not allow it to dish out pre-set static IPs to IPSEC clients, probably not related at all to your issue.
  • 0
    Random Thoughts ... we had an issue once with a CHECKPOINT Ipsec to ASG Link, the Checkpoint uses different valuse for IPsec SA lifetime - ie 3600 is 1 in checkpoint (seconds in an hour)

    The other is I recall way back in version maybe 6 to 7 at one point CERTIFICATES didnt get upgraded/backed/up  so needed to regen the certs for the IPSEC link .. all a bit fuzzy but maybe look at that ?