IPSEC Site to Site VPN stopped working

Hi, what's on the other end? Another Astaro or something else?

Barry

Whenever something strange occurs, always look in the Intrusion Prevention log.

The other thought is like Barry's - could it be that these two remote sites added a local network identical to yours, or that they have added a new VPN to another site with the same subnet as yours?

Cheers - Bob

Barry the other end is a Symantec 320 (exactly the same as all other 14 endpoints).   The Symantec units are no longer supported so no automatic firmware updates were applied or anything like that.

Bob, you might be right.  Here is the entry from the IPS log on saturday:

2012:08:11-22:12:34 gate1 snort[7103]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="NETBIOS SMB client TRANS response Find_First2 filesize overflow attempt" group="110" srcip="10.1.2.2" dstip="10.1.1.15" proto="6" srcport="445" dstport="3832" sid="17746" class="Attempted Administrator Privilege Gain" priority="1"  generator="1" msgid="0"

The strange thing is, that even if I disable the IP System in the Astaro the traffic is still blocked.

Bob, the answer to the 2nd part of your question is no.  I am an IT army of one here, no one has the passwords or really, the ability to add a new network or VPN.  Nothing infrastructure wise has changed in at least a week before these two sites started having problems.  Unless we were hacked in some fashion, no changes were made before the problems began.

So, these two connections both show all green on the 'Site-to-site VPN' page?

If so, then we should probably look at pictures of the configuration on the Astaro and on a Symantec.

Still, I think it's something on the Symantecs that won't appear in the pictures or the IPsec logs.

Cheers - Bob

Yep both green, and both connections are up and working to some degree.  For instance I can VNC or RDP into computers at the 2 remote networks from the local network for the Astaro but I can't do the reverse (which used to work).  The 2 remote sites can FTP a file up to a my FTP server local to the Astaro but can not download any files (LIST command times out).  Both remote sites cannot browse any websites, even my internal site (dns works, ping works, but the site will not pull up in a browser).  
I believe it has something to do with the packet filter.  I have been able to get the ftp to work temporarily by creating an entry for the 2 non working networks in the "FTP Proxy Skiplist" but the throughput is very slow for these 2 sites.
I went to so far as to drive to one of the remote sites yesterday and disable the VPN to very the internet connection was not causing an issue (it is fine).

Even stranger to me is the fact that I can't even get to the "Content Blocked" page on the Astaro from these 2 sites.  What would stop even the Web Filtering page from resolving?

How about the pictures suggested in #6 above?  Also, do you see anything related in the Firewall log for the Astaro?  What about the equivalent log for the Symantec?

Cheers - Bob

Hi Bob, here are the pictures you requested (I've removed the external Ip addresses and preshared keys from the screen captures).
Nothing jumps out at me in either log file.

I would use 'Support Path MTU discovery' in every 'Remote Gateway'.  That should make the VPNs more robust.  Did that fix your problem?

Cheers - Bob
PS I notice you're using 3DES and PSKs; a quick glance at the Symantec docs indicates that you may be stick with those.  If the Symantecs can do AES-128 PFS, that's about as secure as 3DES and much faster.  AES-256 is faster than 3DES and much more secure.  Best Practice is to change PSKs at least once a quarter if they're used in site-to-site.  If the Symantec can do RSA keys or X509 certs, those can be semi-permanent configurations.  If you're not concerned about the exposure, then PSKs are fine.