Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 12359 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec Site-to-site drops every hour (UTM9 to Juniper ScreenOS)

jpwjpw
Hi guys, 

Can anyone help me? [:)] New IPSec VPN connection between a UTM320 and a Juniper Netscreen 25. It works, but seems to drop for 30 seconds every hour. I have VPN monitor on but it doesn't seem to keep the connection alive.


Sophos UTM 320 – software version 9.104-17

(master of the connection, has external IP:

SA:       0.0.0.0/0=*.*.*.*                       *.*.*.*=*.*.*.0/24
VPN ID: *.*.*.*
IKE: Auth PSK / Enc 3DES_CBC / Hash HMAC_SHA1 / Lifetime 7800s / DPD
ESP: Enc 3DES_CBC / Hash HMAC_SHA1 / Lifetime 3600s )

Juniper netscreen 25 – ScreenOS 5.4.0r27.0

VPN drops every hour or so for 30 seconds. The relevant log from the UTM:

013:08:23-14:31:04 LiveFW-1 pluto[15986]: "S_REF_IpsSitOfficelink_1"[101] *.*.*.* #532: initiating Quick Mode PSK+ENCRYPT+COMPRESS+TUNNEL+PFS to replace #531 {using isakmp#530}
2013:08:23-14:32:14 LiveFW-1 pluto[15986]: "S_REF_IpsSitOfficelink_1"[101] *.*.*.* #532: max number of retransmissions (2) reached STATE_QUICK_I1
2013:08:23-14:32:14 LiveFW-1 pluto[15986]: "S_REF_IpsSitOfficelink_1"[101] *.*.*.* #532: starting keying attempt 2 of an unlimited number
2013:08:23-14:32:14 LiveFW-1 pluto[15986]: "S_REF_IpsSitOfficelink_1"[101] *.*.*.* #533: initiating Quick Mode PSK+ENCRYPT+COMPRESS+TUNNEL+PFS to replace #532 {using isakmp#530}
2013:08:23-14:33:04 LiveFW-1 pluto[15986]: "S_REF_IpsSitOfficelink_1"[101] *.*.*.* #530: DPD: No response from peer - declaring peer dead
2013:08:23-14:33:04 LiveFW-1 pluto[15986]: "S_REF_IpsSitOfficelink_1"[101] *.*.*.* #530: DPD: Terminating all SAs using this connection
2013:08:23-14:33:04 LiveFW-1 pluto[15986]: "S_REF_IpsSitOfficelink_1"[101] *.*.*.* #530: deleting connection "S_REF_IpsSitOfficelink_1"[101] instance with peer *.*.*.* {isakmp=#530/ipsec=#531}
2013:08:23-14:33:04 LiveFW-1 pluto[15986]: "S_REF_IpsSitOfficelink_1" #533: deleting state (STATE_QUICK_I1)
2013:08:23-14:33:04 LiveFW-1 pluto[15986]: "S_REF_IpsSitOfficelink_1" #531: deleting state (STATE_QUICK_R2)
2013:08:23-14:33:04 LiveFW-1 pluto[15986]: id="2204" severity="info" sys="SecureNet" sub="vpn" event="Site-to-site VPN down" variant="ipsec" connection="REF_IpsSitOfficelink" address="*.*.*.*" local_net="0.0.0.0/0" remote_net="*.*.*.0/24"
2013:08:23-14:33:04 LiveFW-1 pluto[15986]: "S_REF_IpsSitOfficelink_1" #530: deleting state (STATE_MAIN_R3)
2013:08:23-14:34:54 LiveFW-1 pluto[15986]: packet from *.*.*.*:500: Informational Exchange is for an unknown (expired?) SA
2013:08:23-14:34:58 LiveFW-1 pluto[15986]: packet from *.*.*.*:500: Quick Mode message is for a non-existent (expired?) ISAKMP SA
2013:08:23-14:35:02 LiveFW-1 pluto[15986]: packet from *.*.*.*:500: Quick Mode message is for a non-existent (expired?) ISAKMP SA
2013:08:23-14:35:06 LiveFW-1 pluto[15986]: packet from *.*.*.*:500: Quick Mode message is for a non-existent (expired?) ISAKMP SA
2013:08:23-14:35:10 LiveFW-1 pluto[15986]: packet from *.*.*.*:500: Quick Mode message is for a non-existent (expired?) ISAKMP SA
2013:08:23-14:35:14 LiveFW-1 pluto[15986]: packet from *.*.*.*:500: Quick Mode message is for a non-existent (expired?) ISAKMP SA
2013:08:23-14:35:18 LiveFW-1 pluto[15986]: packet from *.*.*.*:500: Quick Mode message is for a non-existent (expired?) ISAKMP SA
2013:08:23-14:35:22 LiveFW-1 pluto[15986]: packet from *.*.*.*:500: Quick Mode message is for a non-existent (expired?) ISAKMP SA
2013:08:23-14:35:44 LiveFW-1 pluto[15986]: packet from *.*.*.*:500: ignoring Vendor ID payload [166f932d55eb64d8e4df4fd37e2313f0d0fd84510000000000000000]
2013:08:23-14:35:44 LiveFW-1 pluto[15986]: packet from *.*.*.*:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2013:08:23-14:35:44 LiveFW-1 pluto[15986]: packet from *.*.*.*:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2013:08:23-14:35:44 LiveFW-1 pluto[15986]: packet from *.*.*.*:500: received Vendor ID payload [Dead Peer Detection]
2013:08:23-14:35:44 LiveFW-1 pluto[15986]: packet from *.*.*.*:500: ignoring Vendor ID payload [HeartBeat Notify 386b0100]
2013:08:23-14:35:44 LiveFW-1 pluto[15986]: "S_REF_IpsSitOfficelink_1"[102] *.*.*.* #534: responding to Main Mode from unknown peer *.*.*.*
2013:08:23-14:35:44 LiveFW-1 pluto[15986]: "S_REF_IpsSitOfficelink_1"[102] *.*.*.* #534: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected
2013:08:23-14:35:44 LiveFW-1 pluto[15986]: "S_REF_IpsSitOfficelink_1"[102] *.*.*.* #534: Peer ID is ID_IPV4_ADDR: '*.*.*.*'
2013:08:23-14:35:44 LiveFW-1 pluto[15986]: "S_REF_IpsSitOfficelink_1"[102] *.*.*.* #534: Dead Peer Detection (RFC 3706) enabled
2013:08:23-14:35:44 LiveFW-1 pluto[15986]: "S_REF_IpsSitOfficelink_1"[102] *.*.*.* #534: sent MR3, ISAKMP SA established
2013:08:23-14:35:44 LiveFW-1 pluto[15986]: "S_REF_IpsSitOfficelink_1"[102] *.*.*.* #535: responding to Quick Mode
2013:08:23-14:35:44 LiveFW-1 pluto[15986]: id="2203" severity="info" sys="SecureNet" sub="vpn" event="Site-to-site VPN up" variant="ipsec" connection="REF_IpsSitOfficelink" address="*.*.*.*" local_net="0.0.0.0/0" remote_net="*.*.*.0/24"
2013:08:23-14:35:44 LiveFW-1 pluto[15986]: "S_REF_IpsSitOfficelink_1"[102] *.*.*.* #535: IPsec SA established {ESP=>0xcccfbde0 0xcccfbde2 


This thread was automatically locked due to age.
Parents
  • 0
    Hi ,

    If you will look good on the log you will see that the connection resets from time to time because the DPD (dead peer detection ) does not get respond from other side.
    It looks that there is a connection issue is this site.
    I was asking you about the version because there was an issue with DPD in one version.
    But for me it looks like a real connection issue in one of your sides .

    All my best

    Gil Peled.

    CEO- Expert2IT LTD.

    SOPHOS Platinum Partner.

    Gil@expert2it.co.Il.

Reply
  • 0
    Hi ,

    If you will look good on the log you will see that the connection resets from time to time because the DPD (dead peer detection ) does not get respond from other side.
    It looks that there is a connection issue is this site.
    I was asking you about the version because there was an issue with DPD in one version.
    But for me it looks like a real connection issue in one of your sides .

    All my best

    Gil Peled.

    CEO- Expert2IT LTD.

    SOPHOS Platinum Partner.

    Gil@expert2it.co.Il.

Children
  • 0 in reply to gilipeled
    Thanks for your reply... as above - Sophos UTM 320 – software version 9.104-17

    What do you mean by connection issue? The networking is definitely not an issue as its in a test lab at the moment. Probably a config issue, but i don't know where to look.

    Do you know exactly what DPD does? I don't think i've seen that option in ScreenOS.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML