Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 9093 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ipsec-VPN-issue with Lancom-Router

jkontny
Hi there!
I’ve established a VPN-Connection between a LANCOM-Router (dynamic WAN-IP) and an ASG9 (fixed WAN-IP).
Everything works.
When I manually interrupt the WAN-connection of the LANCOM-Router, it gets a new WAN-IP and reconnects to the ASG.
So far, so good.
But once a day (I can’t see any relations to the provider-disconnection at 3:00AM) the VPN-connection stops working.
The LANCOM-Router still seems to be connected to the ASG (VPN alive).
But on the ASG I get an error and the VPN-Connects seems not to be established:
---------------------------------------------------------------------
[SIZE=2]2012:12:05-21:07:24 sicherheit-1 pluto[5586]: | *time to handle event[/SIZE]
[SIZE=2]2012:12:05-21:07:24 sicherheit-1 pluto[5586]: | event after this is EVENT_DPD in 11 seconds[/SIZE]
[SIZE=2]2012:12:05-21:07:24 sicherheit-1 pluto[5586]: | handling event EVENT_RETRANSMIT for 87.165.121.82 "S_KontnyBN" #56[/SIZE]
[SIZE=2]2012:12:05-21:07:24 sicherheit-1 pluto[5586]: | inserting event EVENT_RETRANSMIT, timeout in 40 seconds for #56[/SIZE]
[SIZE=2]2012:12:05-21:07:24 sicherheit-1 pluto[5586]: | next event EVENT_DPD in 11 seconds for #43[/SIZE]
-----------------------------------------------------------------------
It seems to point to a former WAN-IP of the LANCOM-Router.
 
Restarting the LANCOM-Routers doesn’t help.
Restarting the ASG solves the problem for round about 30 hours.
 
Any hints form me?
Thanks in advance… J.Kontny


This thread was automatically locked due to age.
  • 0
    Hi J.

    Do you have the Remote Gateway set to "Respond Only" - or does the LANCOM have a DynDNS FQDN that allows you to use "Initiate connection"?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob!
    The LANCOM has an fqdn, but I've set it to "respond only".
    I don't know why, but there was only the option "respond only" available - do you know how to get the other otions available?
    Thanks J.Kontny
  • 0
    I think that, once you have saved the 'Remote Gateway' as 'Respond only', it's locked that way.  Just create a new one and change the IPsec Connection to use the replacement.

    Cheers - Bob
    PS If that doesn't resolve the issue, please [Go Advanced] below and show us pictures of the Remote Gateway and IPsec Connection definitions.
  • 0 in reply to BAlfson
    Hi Bob!
    Here are some screenshots from the Astaro.
    At first you see the broken vpn-connection.

    Here are the configuration-pages:





    Sorry - only 4 pictures in a mesage are alloews - the ipsec-policy can be found in the attachments...

    And this is the connection after a reboot of the UTM.



    Thanks for your help… Jochen

    P.S.: Sorry for the late answers - I had to work this weekend on an other case...
  • 0
    If it's set to match with the Lancom, the IKE-SA-Lebensdauer should work, but it's unusual to have it be 8 hours.  I still think you should change to a different etnferntes Gateway that is 'Typ: Verbindung initiieren', and that might solve this problem.  Do both sides have Dead-Peer Detection enabled?

    Cheers - Bob
  • 0 in reply to BAlfson
    OK,
    I changed the VPN-connection and created a new remote-gateway the initializes the vpn-connection.
    All other settings are unchanged (lifetime,...)
    At the moment it works.
    I will give a feed back on monday.
    Thanks a lot an a nice weekend!
  • 0 in reply to jkontny
    Thanks BAlfson!
    The connection is stable now!
    In the next step, I'Ve to establish an connection between to UTM9, we will see ;-))
    Thanks an a nice sunday J.Kontny