Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 3005 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Toggle IPSEC VPN Via Cronjob

HopefulSoul
I have an IPSEC VPN Setup between 2 sites. One site uses an Astaro and the other a Watchguard Firebox. The VPN will stay "connected" for quite sometime, but during this time the SAs will randomly drop. There are 10 SAs in this 1 connection, and due to the descrepancies in the hardware at each site, or possibly the firmware on the firebox that is out of warranty so cannot be updated, or possibly even due to the isp at 1 site being comcast business, the SAs fall off in groups of 1 - all 10 at once by the time i notice. This is even with the remote site using the watchguard configured with VPN Keepalive to ping servers behind the astaro.

Without troubleshooting that, i'd like to implement a workaround to have the astaro restart the vpn each morning at 2am via a cronjob. The vpn is called "BOVPN_Singer_Firebox"

Is this possible? Or are you gonna send me into a troubleshooting nightmare of figuring out exactly why the SAs drop lol

thanks!


This thread was automatically locked due to age.
Parents
  • 0
    To quote one of the VPN gurus (d12fk), "IPsec without DPD is pretty useless."  I bet fixing that solves your problem.  I wanted to see the 'Remote Gateway', in part, to ensure that you had selected "Initiate connection" - DPD doesn't work on this side if 'Repond only' is selected.

    I would also select 'Support Path MTU discovery' - I've never seen that cause a problem, and sometimes it's really helpful.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    To quote one of the VPN gurus (d12fk), "IPsec without DPD is pretty useless."  I bet fixing that solves your problem.  I wanted to see the 'Remote Gateway', in part, to ensure that you had selected "Initiate connection" - DPD doesn't work on this side if 'Repond only' is selected.

    I would also select 'Support Path MTU discovery' - I've never seen that cause a problem, and sometimes it's really helpful.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    To quote one of the VPN gurus (d12fk), "IPsec without DPD is pretty useless."  I bet fixing that solves your problem.  I wanted to see the 'Remote Gateway', in part, to ensure that you had selected "Initiate connection" - DPD doesn't work on this side if 'Repond only' is selected.

    I would also select 'Support Path MTU discovery' - I've never seen that cause a problem, and sometimes it's really helpful.

    Cheers - Bob


    So you're suggesting to enable DPD then? Do i have it backwards in my head that DPD is what probably got me to this point by thinking there were some dead peers and thus ..for lack of a better word ..degrading ...the vpn?

    also thanks for the script barry, i got sucked into troubleshooting (s'ok, i love to do it by nature) but that would seem to answer my original request [:)]
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?