Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 3003 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Toggle IPSEC VPN Via Cronjob

HopefulSoul
I have an IPSEC VPN Setup between 2 sites. One site uses an Astaro and the other a Watchguard Firebox. The VPN will stay "connected" for quite sometime, but during this time the SAs will randomly drop. There are 10 SAs in this 1 connection, and due to the descrepancies in the hardware at each site, or possibly the firmware on the firebox that is out of warranty so cannot be updated, or possibly even due to the isp at 1 site being comcast business, the SAs fall off in groups of 1 - all 10 at once by the time i notice. This is even with the remote site using the watchguard configured with VPN Keepalive to ping servers behind the astaro.

Without troubleshooting that, i'd like to implement a workaround to have the astaro restart the vpn each morning at 2am via a cronjob. The vpn is called "BOVPN_Singer_Firebox"

Is this possible? Or are you gonna send me into a troubleshooting nightmare of figuring out exactly why the SAs drop lol

thanks!


This thread was automatically locked due to age.
  • 0
    Please [Go Advanced] below and attach pictures of the Edits of the 'IPsec Connection' and of the 'Remote Gateway' with 'Advanced' visible.  Do you have 'Dead peer detection' enabled?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    OMG. I swore I disabled dead peer detection but you made me check it again and i see on one side of the vpn it is enabled. It is now disabled.

    Here are the screens you requested.
  • 0
    To quote one of the VPN gurus (d12fk), "IPsec without DPD is pretty useless."  I bet fixing that solves your problem.  I wanted to see the 'Remote Gateway', in part, to ensure that you had selected "Initiate connection" - DPD doesn't work on this side if 'Repond only' is selected.

    I would also select 'Support Path MTU discovery' - I've never seen that cause a problem, and sometimes it's really helpful.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    To quote one of the VPN gurus (d12fk), "IPsec without DPD is pretty useless."  I bet fixing that solves your problem.  I wanted to see the 'Remote Gateway', in part, to ensure that you had selected "Initiate connection" - DPD doesn't work on this side if 'Repond only' is selected.

    I would also select 'Support Path MTU discovery' - I've never seen that cause a problem, and sometimes it's really helpful.

    Cheers - Bob


    So you're suggesting to enable DPD then? Do i have it backwards in my head that DPD is what probably got me to this point by thinking there were some dead peers and thus ..for lack of a better word ..degrading ...the vpn?

    also thanks for the script barry, i got sucked into troubleshooting (s'ok, i love to do it by nature) but that would seem to answer my original request [:)]
  • 0
    Just a little story about Watchguard Fireboxes with no warranty and old firmware: We had such a device here and had similar problems (unreliable vpn connections to different other devices like cisco's, symantecs, ...). We finally replaced thefirebox with a utm120 - and now we have a reliable vpn ....

    Regards
    Manfred
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?