Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 8071 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec Site to Site VPN - no traffic

jpvj
Hi,

I am trying to configure site to site VPN between an Sophos UTM 9.006_5 on site "A" against a WatchGuard on site "B".

Right after the initial configuration, I was able to ping an IP address on the remote subnet. The day after it stopped and has never worked ever since.

Nothing was changed on the Astaro and the "other guy" claims nothing was changed on the WatchGuard. 

Both firewalls shows the tunnel is up, but neither can ping to the other side.

I am quite sure all parameters for main and quick mode is correct (checked multiple times) but I cannot seem to spot the problem.

I enabled debug logging and collected this log from the ASG. Hope someone can provide some input.

Thx.


This thread was automatically locked due to age.
ASG.zip
  • 0
    Hi, and welcome to the User BB!

    I don't think you'll get anyone to look at a file with debugging on.  With debug off, disable the IPsec connection, start the Live Log and enable the IPsec connection.  Skipping the first ten lines, show about 40 lines from the log that represent the established connection.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    [FONT="Courier New"][SIZE="2"]2013:04:27-13:13:27 Astaro ipsec_starter[26942]: Starting strongSwan 4.4.1git20100610 IPsec [starter]...
    2013:04:27-13:13:27 Astaro pluto[26950]: Starting IKEv1 pluto daemon (strongSwan 4.4.1git20100610) THREADS VENDORID CISCO_QUIRKS
    2013:04:27-13:13:27 Astaro pluto[26950]: loaded plugins: curl ldap aes des blowfish serpent twofish sha1 sha2 md5 random x509 pubkey pkcs1 pgp dnskey pem sqlite hmac gmp xauth attr attr-sql resolve
    2013:04:27-13:13:27 Astaro pluto[26950]: including NAT-Traversal patch (Version 0.6c) [disabled]
    2013:04:27-13:13:27 Astaro pluto[26950]: Using Linux 2.6 IPsec interface code
    2013:04:27-13:13:27 Astaro ipsec_starter[26948]: pluto (26950) started after 20 ms
    2013:04:27-13:13:27 Astaro pluto[26950]: loading ca certificates from '/etc/ipsec.d/cacerts'
    2013:04:27-13:13:27 Astaro pluto[26950]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
    2013:04:27-13:13:27 Astaro pluto[26950]: loading aa certificates from '/etc/ipsec.d/aacerts'
    2013:04:27-13:13:27 Astaro pluto[26950]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
    2013:04:27-13:13:27 Astaro pluto[26950]: Changing to directory '/etc/ipsec.d/crls'
    2013:04:27-13:13:27 Astaro pluto[26950]: loading attribute certificates from '/etc/ipsec.d/acerts'
    2013:04:27-13:13:27 Astaro pluto[26950]: listening for IKE messages
    2013:04:27-13:13:27 Astaro pluto[26950]: adding interface eth1/eth1 A.A.A.A:500
    2013:04:27-13:13:27 Astaro pluto[26950]: adding interface eth0/eth0 192.168.30.254:500
    2013:04:27-13:13:27 Astaro pluto[26950]: adding interface lo/lo 127.0.0.1:500
    2013:04:27-13:13:27 Astaro pluto[26950]: adding interface lo/lo ::1:500
    2013:04:27-13:13:27 Astaro pluto[26950]: loading secrets from "/etc/ipsec.secrets"
    2013:04:27-13:13:27 Astaro pluto[26950]: loaded PSK secret for A.A.A.A B.B.B.B
    2013:04:27-13:13:27 Astaro pluto[26950]: added connection description "S_AAO"
    2013:04:27-13:13:27 Astaro pluto[26950]: "S_AAO" #1: initiating Main Mode
    2013:04:27-13:13:27 Astaro pluto[26950]: "S_AAO" #1: received Vendor ID payload [XAUTH]
    2013:04:27-13:13:27 Astaro pluto[26950]: "S_AAO" #1: received Vendor ID payload [Dead Peer Detection]
    2013:04:27-13:13:27 Astaro pluto[26950]: "S_AAO" #1: Peer ID is ID_IPV4_ADDR: 'B.B.B.B'
    2013:04:27-13:13:27 Astaro pluto[26950]: "S_AAO" #1: Dead Peer Detection (RFC 3706) enabled
    2013:04:27-13:13:27 Astaro pluto[26950]: "S_AAO" #1: ISAKMP SA established
    2013:04:27-13:13:27 Astaro pluto[26950]: "S_AAO" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP {using isakmp#1}
    2013:04:27-13:13:27 Astaro pluto[26950]: "S_AAO" #2: ignoring informational payload, type IPSEC_RESPONDER_LIFETIME
    2013:04:27-13:13:27 Astaro pluto[26950]: "S_AAO" #2: sent QI2, IPsec SA established {ESP=>0x7a4b7751 
  • 0
    Thanks!  That looks good so far. Please edit that post and add the next 10-20 lines.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi,

    I stopped and started the IPSec connection about 13:12 and as you can see not much happens for almost one hour...


    [FONT="Courier New"][SIZE="2"]2013:04:28-13:12:59 Astaro ipsec_starter[21739]: Starting strongSwan 4.4.1git20100610 IPsec [starter]...
    2013:04:28-13:12:59 Astaro pluto[21747]: Starting IKEv1 pluto daemon (strongSwan 4.4.1git20100610) THREADS VENDORID CISCO_QUIRKS
    2013:04:28-13:12:59 Astaro pluto[21747]: loaded plugins: curl ldap aes des blowfish serpent twofish sha1 sha2 md5 random x509 pubkey pkcs1 pgp dnskey pem sqlite hmac gmp xauth attr attr-sql resolve
    2013:04:28-13:12:59 Astaro pluto[21747]: including NAT-Traversal patch (Version 0.6c) [disabled]
    2013:04:28-13:12:59 Astaro pluto[21747]: Using Linux 2.6 IPsec interface code
    2013:04:28-13:12:59 Astaro ipsec_starter[21745]: pluto (21747) started after 20 ms
    2013:04:28-13:12:59 Astaro pluto[21747]: loading ca certificates from '/etc/ipsec.d/cacerts'
    2013:04:28-13:12:59 Astaro pluto[21747]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
    2013:04:28-13:12:59 Astaro pluto[21747]: loading aa certificates from '/etc/ipsec.d/aacerts'
    2013:04:28-13:12:59 Astaro pluto[21747]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
    2013:04:28-13:12:59 Astaro pluto[21747]: Changing to directory '/etc/ipsec.d/crls'
    2013:04:28-13:12:59 Astaro pluto[21747]: loading attribute certificates from '/etc/ipsec.d/acerts'
    2013:04:28-13:12:59 Astaro pluto[21747]: listening for IKE messages
    2013:04:28-13:12:59 Astaro pluto[21747]: adding interface eth1/eth1 87.104.238.42:500
    2013:04:28-13:12:59 Astaro pluto[21747]: adding interface eth0/eth0 192.168.30.254:500
    2013:04:28-13:12:59 Astaro pluto[21747]: adding interface lo/lo 127.0.0.1:500
    2013:04:28-13:12:59 Astaro pluto[21747]: adding interface lo/lo ::1:500
    2013:04:28-13:12:59 Astaro pluto[21747]: loading secrets from "/etc/ipsec.secrets"
    2013:04:28-13:12:59 Astaro pluto[21747]: loaded PSK secret for 87.104.238.42 77.233.239.228
    2013:04:28-13:12:59 Astaro pluto[21747]: added connection description "S_AAO"
    2013:04:28-13:12:59 Astaro pluto[21747]: "S_AAO" #1: initiating Main Mode
    2013:04:28-13:12:59 Astaro pluto[21747]: "S_AAO" #1: received Vendor ID payload [XAUTH]
    2013:04:28-13:12:59 Astaro pluto[21747]: "S_AAO" #1: received Vendor ID payload [Dead Peer Detection]
    2013:04:28-13:12:59 Astaro pluto[21747]: "S_AAO" #1: Peer ID is ID_IPV4_ADDR: '77.233.239.228'
    2013:04:28-13:12:59 Astaro pluto[21747]: "S_AAO" #1: ISAKMP SA established
    2013:04:28-13:12:59 Astaro pluto[21747]: "S_AAO" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP {using isakmp#1}
    2013:04:28-13:12:59 Astaro pluto[21747]: "S_AAO" #2: ignoring informational payload, type IPSEC_RESPONDER_LIFETIME
    2013:04:28-13:12:59 Astaro pluto[21747]: "S_AAO" #2: sent QI2, IPsec SA established {ESP=>0x5b6d212a 
  • 0
    Hi

    Post your ipsec and ike config.
    First look seems that can be some key lifetime or time diffrent on the fw.

    Jarle.
  • 0 in reply to jarle
    Both ends are directly connected to a WAN connection (no NAT).
    DPD is currently off, but was initially off. No difference.

    We are using a preshared key.
    None of the advanced settins on the remote gw settings are enabled (MTU discovery, ECN or XAUTH mode).


    I have our Internal network (/24)  as local network, and their /24 as remote Network.
    Automatic firewall rules are enabled.


    IPSec policy:

    IKE encrypt: 3DES
    IKE auth: SHA1
    IKE SA lifetime: 28800 (8 hours)
    IKE DH Group: Group 2

    IPSec encr: AES 128
    IPSec auth: SHA1
    IPSec lifetime: 28800 (8 hours)
    IPSec PFS: None

    Strict policy and compression is off.


    I have not access to the other firewall but have requested screenshots of all settings. I will expect to have them tomorrow.

    The settings are "dictated" by the other part, but can be changed upon request. 

    Our local WAN IP scope is a /29 range:
    .40 is Network ID
    .41 is gateway
    .42 is IP of the FW and also used for DNAT'ing (primarily RDP to different ports beeing mapped to 3389 on several servers).
    .43 Unused
    .44 Unused
    .45 Unused
    .46 Unused
    .47 Broadcast

    Should it cause any issues to do NAT'in on the IP of the FW?

    /JP
  • 0
    Check this out.
    The IPsec lifetime is generally shorter than the IKE lifetime. This allows for the IPsec connection to be re-keyed simply by performing another phase-2 negotiation. There is no need to do another phase-1 negotiation until the IKE lifetime has expired. Try ipsec lifetime 3600.


    http://www.amaranten.com/support/user%20guide/VPN/IPSec_Basics/Overview.htm
  • 0
    Hi Jarle,

    Thx. for replying. I noticed this, but this should IMHO not cause the tunnel not beeing able to let traffic flow. Also - rekeying every 8 hours is not a big deal..

    /JP
  • 0
    Do try MTU discovery.  Also, since everything else seems OK, if the MTU wasn't the issue, then try what I call Rule #1 (enhanced):

    Whenever something seems strange, always check the Intrusion Prevention,
    Application Control and Firewall logs.



    I did look at the end of your file in post #1.  I'm confused by "next event EVENT_REINIT_SECRET in 3600 seconds" given the policy you posted above.

    "Should it cause any issues to do NAT'in on the IP of the FW?"
    Apparently, you aren't doing this now or your tunnel would die immediately - I don't think the IPsec SA would establish.  There is a way to adjust for this, but if your side is NATed, the other side will have to make the adjustment.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,

    MTU path discovery has been tried without success.
    Intrusion Prevension is disabled.
    Application control and Firewall logs did not show anything interesting.

    /JP
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML