Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 5793 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC Site to Site VPN stopped working

klindsay
Hello,

I have 16 Site to Site IPSec VPN tunnels configured and running on my Astaro 220 v8.305.  As of Saturday morning 2 of the 16 tunnels are behaving strangely.  The tunnels are up and I can get from the the Astaro to the remote network just fine but traffic from the remote to the Astaro no longer seems to work.  The configuration of these tunnels have not changed in a month and there is no difference in the config of these 2 tunnels vs the 14 that are still operating normally.  I have deleted the tunnel connection and gateway defintitions then recreated them but they still will not pass traffic the way they used to.  Anyone have any ideas what might have happened and how I could fix it?
Thank you


This thread was automatically locked due to age.
Parents
  • 0
    I would use 'Support Path MTU discovery' in every 'Remote Gateway'.  That should make the VPNs more robust.  Did that fix your problem?

    Cheers - Bob
    PS I notice you're using 3DES and PSKs; a quick glance at the Symantec docs indicates that you may be stick with those.  If the Symantecs can do AES-128 PFS, that's about as secure as 3DES and much faster.  AES-256 is faster than 3DES and much more secure.  Best Practice is to change PSKs at least once a quarter if they're used in site-to-site.  If the Symantec can do RSA keys or X509 certs, those can be semi-permanent configurations.  If you're not concerned about the exposure, then PSKs are fine.
Reply
  • 0
    I would use 'Support Path MTU discovery' in every 'Remote Gateway'.  That should make the VPNs more robust.  Did that fix your problem?

    Cheers - Bob
    PS I notice you're using 3DES and PSKs; a quick glance at the Symantec docs indicates that you may be stick with those.  If the Symantecs can do AES-128 PFS, that's about as secure as 3DES and much faster.  AES-256 is faster than 3DES and much more secure.  Best Practice is to change PSKs at least once a quarter if they're used in site-to-site.  If the Symantec can do RSA keys or X509 certs, those can be semi-permanent configurations.  If you're not concerned about the exposure, then PSKs are fine.
Children
No Data