Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 3494 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM9 in AWS VPC -- issues w/ipsec S2S vpns

lprikockis_01
Has anyone else had an issue where they are able to sucessfully establish an IPSEC SA between a private subnet at Amazon and an external network, but no traffic passes until traffic is initiated from the UTM/AWS side of the tunnel?

In other words, while the remote partner sees the tunnel come up successfully, if they try to ping my side of the tunnel, they get no response UNTIL I ping a host on their end of the tunnel.

After that, traffic can flow in either direction... it just seems that the remote end is unable to initiate the connection.

Not sure if it's relevant, but the remote party is using a Checkpoint firewall/vpn device.

Curious if anyone one else has run into a similar problem with the UTM9 appliance in other environments or if this is something peculiar to using it within Amazon's Virtual Private Cloud or ????

thanks


This thread was automatically locked due to age.
Parents
  • 0
    I've probably got too much debugging info turned on here, but here's roughly the section of the log file from where I ping the remote host and "magically" everything starts working.    I'm not familiar enough with this ipsec implementation to be entirely certain what's relevant here...  I can certainly provide more detail if needed.

    The point is, I'm not seeing anything (in this snippet or elsewhere) in the log that jumps out as a clear error or problem.  ???

    2013:04:05-17:27:33 qcpfw pluto[4257]: |    next payload type: ISAKMP_NEXT_NONE
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    DOI: ISAKMP_DOI_IPSEC
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    protocol ID: 1
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    SPI size: 16
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    Notify Message Type: R_U_THERE
    2013:04:05-17:27:33 qcpfw pluto[4257]: | emitting 8 raw bytes of notify icookie into ISAKMP Notification Payload
    2013:04:05-17:27:33 qcpfw pluto[4257]: | notify icookie  fd 75 59 38  fe a5 b4 6d
    2013:04:05-17:27:33 qcpfw pluto[4257]: | emitting 8 raw bytes of notify rcookie into ISAKMP Notification Payload
    2013:04:05-17:27:33 qcpfw pluto[4257]: | notify rcookie  13 20 51 ea  dc a3 b0 6c
    2013:04:05-17:27:33 qcpfw pluto[4257]: | emitting 4 raw bytes of notify data into ISAKMP Notification Payload
    2013:04:05-17:27:33 qcpfw pluto[4257]: | notify data  00 00 65 50
    2013:04:05-17:27:33 qcpfw pluto[4257]: | emitting length of ISAKMP Notification Payload: 32
    2013:04:05-17:27:33 qcpfw pluto[4257]: | emitting 8 zero bytes of encryption padding into ISAKMP Message
    2013:04:05-17:27:33 qcpfw pluto[4257]: | emitting length of ISAKMP Message: 92
    2013:04:05-17:27:33 qcpfw pluto[4257]: | sent DPD notification R_U_THERE with seqno = 25936
    2013:04:05-17:27:33 qcpfw pluto[4257]: | inserting event EVENT_DPD, timeout in 30 seconds for #1
    2013:04:05-17:27:33 qcpfw pluto[4257]: | next event EVENT_DPD_UPDATE in 29 seconds for #2
    2013:04:05-17:27:33 qcpfw pluto[4257]: | 
    2013:04:05-17:27:33 qcpfw pluto[4257]: | *received 92 bytes from ***.***.***.***:500 on eth1
    2013:04:05-17:27:33 qcpfw pluto[4257]: | **parse ISAKMP Message:
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    initiator cookie:
    2013:04:05-17:27:33 qcpfw pluto[4257]: |   fd 75 59 38  fe a5 b4 6d
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    responder cookie:
    2013:04:05-17:27:33 qcpfw pluto[4257]: |   13 20 51 ea  dc a3 b0 6c
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    next payload type: ISAKMP_NEXT_HASH
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    ISAKMP version: ISAKMP Version 1.0
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    exchange type: ISAKMP_XCHG_INFO
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    flags: ISAKMP_FLAG_ENCRYPTION
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    message ID:  de 06 89 e0
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    length: 92
    2013:04:05-17:27:33 qcpfw pluto[4257]: | ICOOKIE:  fd 75 59 38  fe a5 b4 6d
    2013:04:05-17:27:33 qcpfw pluto[4257]: | RCOOKIE:  13 20 51 ea  dc a3 b0 6c
    2013:04:05-17:27:33 qcpfw pluto[4257]: | peer:  d0 44 17 fa
    2013:04:05-17:27:33 qcpfw pluto[4257]: | state hash entry 17
    2013:04:05-17:27:33 qcpfw pluto[4257]: | state object #1 found, in STATE_MAIN_I4
    2013:04:05-17:27:33 qcpfw pluto[4257]: | ***parse ISAKMP Hash Payload:
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    next payload type: ISAKMP_NEXT_N
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    length: 24
    2013:04:05-17:27:33 qcpfw pluto[4257]: | ***parse ISAKMP Notification Payload:
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    next payload type: ISAKMP_NEXT_NONE
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    length: 32
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    DOI: ISAKMP_DOI_IPSEC
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    protocol ID: 1
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    SPI size: 16
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    Notify Message Type: R_U_THERE_ACK
    2013:04:05-17:27:33 qcpfw pluto[4257]: | removing 8 bytes of padding
    2013:04:05-17:27:33 qcpfw pluto[4257]: | info:  fd 75 59 38  fe a5 b4 6d  13 20 51 ea  dc a3 b0 6c
    2013:04:05-17:27:33 qcpfw pluto[4257]: |   00 00 65 50
    2013:04:05-17:27:33 qcpfw pluto[4257]: | received DPD notification R_U_THERE_ACK with seqno = 25936
    2013:04:05-17:27:33 qcpfw pluto[4257]: | next event EVENT_DPD_UPDATE in 29 seconds for #2
    2013:04:05-17:27:56 qcpfw pluto[4257]: | 
    2013:04:05-17:27:56 qcpfw pluto[4257]: | *received whack message
    2013:04:05-17:27:56 qcpfw pluto[4257]: | next event EVENT_DPD_UPDATE in 6 seconds for #2
    2013:04:05-17:28:01 qcpfw pluto[4257]: | 
    2013:04:05-17:28:01 qcpfw pluto[4257]: | *received whack message
    2013:04:05-17:28:01 qcpfw pluto[4257]: | next event EVENT_DPD_UPDATE in 1 seconds for #2
    2013:04:05-17:28:02 qcpfw pluto[4257]: | 
    2013:04:05-17:28:02 qcpfw pluto[4257]: | *time to handle event
    2013:04:05-17:28:02 qcpfw pluto[4257]: | event after this is EVENT_DPD in 1 seconds
    2013:04:05-17:28:02 qcpfw pluto[4257]: | inserting event EVENT_DPD_UPDATE, timeout in 30 seconds for #2
    2013:04:05-17:28:02 qcpfw pluto[4257]: | next event EVENT_DPD in 1 seconds for #1
    2013:04:05-17:28:03 qcpfw pluto[4257]: | 
    2013:04:05-17:28:03 qcpfw pluto[4257]: | *time to handle event
    2013:04:05-17:28:03 qcpfw pluto[4257]: | event after this is EVENT_DPD_UPDATE in 29 seconds
    2013:04:05-17:28:03 qcpfw pluto[4257]: | recent DPD activity 2 seconds ago, no need to send DPD notification
    2013:04:05-17:28:03 qcpfw pluto[4257]: | inserting event EVENT_DPD, timeout in 30 seconds for #1
    2013:04:05-17:28:03 qcpfw pluto[4257]: | next event EVENT_DPD_UPDATE in 29 seconds for #2
Reply
  • 0
    I've probably got too much debugging info turned on here, but here's roughly the section of the log file from where I ping the remote host and "magically" everything starts working.    I'm not familiar enough with this ipsec implementation to be entirely certain what's relevant here...  I can certainly provide more detail if needed.

    The point is, I'm not seeing anything (in this snippet or elsewhere) in the log that jumps out as a clear error or problem.  ???

    2013:04:05-17:27:33 qcpfw pluto[4257]: |    next payload type: ISAKMP_NEXT_NONE
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    DOI: ISAKMP_DOI_IPSEC
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    protocol ID: 1
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    SPI size: 16
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    Notify Message Type: R_U_THERE
    2013:04:05-17:27:33 qcpfw pluto[4257]: | emitting 8 raw bytes of notify icookie into ISAKMP Notification Payload
    2013:04:05-17:27:33 qcpfw pluto[4257]: | notify icookie  fd 75 59 38  fe a5 b4 6d
    2013:04:05-17:27:33 qcpfw pluto[4257]: | emitting 8 raw bytes of notify rcookie into ISAKMP Notification Payload
    2013:04:05-17:27:33 qcpfw pluto[4257]: | notify rcookie  13 20 51 ea  dc a3 b0 6c
    2013:04:05-17:27:33 qcpfw pluto[4257]: | emitting 4 raw bytes of notify data into ISAKMP Notification Payload
    2013:04:05-17:27:33 qcpfw pluto[4257]: | notify data  00 00 65 50
    2013:04:05-17:27:33 qcpfw pluto[4257]: | emitting length of ISAKMP Notification Payload: 32
    2013:04:05-17:27:33 qcpfw pluto[4257]: | emitting 8 zero bytes of encryption padding into ISAKMP Message
    2013:04:05-17:27:33 qcpfw pluto[4257]: | emitting length of ISAKMP Message: 92
    2013:04:05-17:27:33 qcpfw pluto[4257]: | sent DPD notification R_U_THERE with seqno = 25936
    2013:04:05-17:27:33 qcpfw pluto[4257]: | inserting event EVENT_DPD, timeout in 30 seconds for #1
    2013:04:05-17:27:33 qcpfw pluto[4257]: | next event EVENT_DPD_UPDATE in 29 seconds for #2
    2013:04:05-17:27:33 qcpfw pluto[4257]: | 
    2013:04:05-17:27:33 qcpfw pluto[4257]: | *received 92 bytes from ***.***.***.***:500 on eth1
    2013:04:05-17:27:33 qcpfw pluto[4257]: | **parse ISAKMP Message:
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    initiator cookie:
    2013:04:05-17:27:33 qcpfw pluto[4257]: |   fd 75 59 38  fe a5 b4 6d
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    responder cookie:
    2013:04:05-17:27:33 qcpfw pluto[4257]: |   13 20 51 ea  dc a3 b0 6c
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    next payload type: ISAKMP_NEXT_HASH
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    ISAKMP version: ISAKMP Version 1.0
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    exchange type: ISAKMP_XCHG_INFO
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    flags: ISAKMP_FLAG_ENCRYPTION
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    message ID:  de 06 89 e0
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    length: 92
    2013:04:05-17:27:33 qcpfw pluto[4257]: | ICOOKIE:  fd 75 59 38  fe a5 b4 6d
    2013:04:05-17:27:33 qcpfw pluto[4257]: | RCOOKIE:  13 20 51 ea  dc a3 b0 6c
    2013:04:05-17:27:33 qcpfw pluto[4257]: | peer:  d0 44 17 fa
    2013:04:05-17:27:33 qcpfw pluto[4257]: | state hash entry 17
    2013:04:05-17:27:33 qcpfw pluto[4257]: | state object #1 found, in STATE_MAIN_I4
    2013:04:05-17:27:33 qcpfw pluto[4257]: | ***parse ISAKMP Hash Payload:
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    next payload type: ISAKMP_NEXT_N
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    length: 24
    2013:04:05-17:27:33 qcpfw pluto[4257]: | ***parse ISAKMP Notification Payload:
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    next payload type: ISAKMP_NEXT_NONE
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    length: 32
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    DOI: ISAKMP_DOI_IPSEC
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    protocol ID: 1
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    SPI size: 16
    2013:04:05-17:27:33 qcpfw pluto[4257]: |    Notify Message Type: R_U_THERE_ACK
    2013:04:05-17:27:33 qcpfw pluto[4257]: | removing 8 bytes of padding
    2013:04:05-17:27:33 qcpfw pluto[4257]: | info:  fd 75 59 38  fe a5 b4 6d  13 20 51 ea  dc a3 b0 6c
    2013:04:05-17:27:33 qcpfw pluto[4257]: |   00 00 65 50
    2013:04:05-17:27:33 qcpfw pluto[4257]: | received DPD notification R_U_THERE_ACK with seqno = 25936
    2013:04:05-17:27:33 qcpfw pluto[4257]: | next event EVENT_DPD_UPDATE in 29 seconds for #2
    2013:04:05-17:27:56 qcpfw pluto[4257]: | 
    2013:04:05-17:27:56 qcpfw pluto[4257]: | *received whack message
    2013:04:05-17:27:56 qcpfw pluto[4257]: | next event EVENT_DPD_UPDATE in 6 seconds for #2
    2013:04:05-17:28:01 qcpfw pluto[4257]: | 
    2013:04:05-17:28:01 qcpfw pluto[4257]: | *received whack message
    2013:04:05-17:28:01 qcpfw pluto[4257]: | next event EVENT_DPD_UPDATE in 1 seconds for #2
    2013:04:05-17:28:02 qcpfw pluto[4257]: | 
    2013:04:05-17:28:02 qcpfw pluto[4257]: | *time to handle event
    2013:04:05-17:28:02 qcpfw pluto[4257]: | event after this is EVENT_DPD in 1 seconds
    2013:04:05-17:28:02 qcpfw pluto[4257]: | inserting event EVENT_DPD_UPDATE, timeout in 30 seconds for #2
    2013:04:05-17:28:02 qcpfw pluto[4257]: | next event EVENT_DPD in 1 seconds for #1
    2013:04:05-17:28:03 qcpfw pluto[4257]: | 
    2013:04:05-17:28:03 qcpfw pluto[4257]: | *time to handle event
    2013:04:05-17:28:03 qcpfw pluto[4257]: | event after this is EVENT_DPD_UPDATE in 29 seconds
    2013:04:05-17:28:03 qcpfw pluto[4257]: | recent DPD activity 2 seconds ago, no need to send DPD notification
    2013:04:05-17:28:03 qcpfw pluto[4257]: | inserting event EVENT_DPD, timeout in 30 seconds for #1
    2013:04:05-17:28:03 qcpfw pluto[4257]: | next event EVENT_DPD_UPDATE in 29 seconds for #2
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML