Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 4922 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN quit working after 2 years.

outkastz
I'm pretty new to this, the vpn was established before I started working here and has been working for 2 years without any issues. Rock solid until today.

We have 4 locations all with ASG120s and then 1 location with a 220.

NY - 120 -  9.107-33
NC - 120 -  9.107-33
CA - 120 -  9.107-33
FL1 - 120 - 9.107-33
FL2 -220 -  9.107-33

All of them are connected to each other via site to site vpns.  Today NY quit talking to FL1. Nothing changed. All other locations can talk to each other.  I've been looking through the logs, rebooting, restarting ipsec, etc. Noobing it up trying to get these working again. The only thing that changed was the update to 9.107-33 which I believe was done Friday evening. But why only 2 locations down? Not sure what logs you want, very anxious to get this fixed. All help is appreciated.

Also, they are setup using PSK. I tried using certificate and rsa key with no luck. Again, all help is appreciated.


This thread was automatically locked due to age.
Parents
  • 0
    ipsec status in NY says:

    000 "S_REF_baUkBfbQNt_0": 172.19.199.0/24===66.195.166.86[66.195.166.86]...173.78.251.17[173.78.251.17]===172.19.206.0/24; unrouted; eroute owner: #0
    ...
    000 #1: "S_REF_baUkBfbQNt_0" STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 0s
    000 #1: pending Phase 2 for "S_REF_baUkBfbQNt_0" replacing #0


    ipsec status in FL1 says:


    000 "S_REF_KoHrEbuxjX_0": 172.19.206.0/24===173.78.251.17[173.78.251.17]...66.195.166.86[66.195.166.86]===172.19.199.0/24; unrouted; eroute owner: #0
    000 "S_REF_KoHrEbuxjX_0":   newest ISAKMP SA: #0; newest IPsec SA: #0;
    ...
    000 #26: "S_REF_KoHrEbuxjX_0" STATE_MAIN_R1 (sent MR1, expecting MI2); EVENT_RETRANSMIT in 22s
    000 #27: "S_REF_KoHrEbuxjX_0" STATE_MAIN_R1 (sent MR1, expecting MI2); EVENT_RETRANSMIT in 2s
    000 #1: "S_REF_KoHrEbuxjX_0" STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 27s
    000 #1: pending Phase 2 for "S_REF_KoHrEbuxjX_0" replacing #0



    IPsec VPN log on NY says:

    2013:12:23-16:15:49 ADV001-BUASTARO-1 pluto[2278]: "S_ADV001 Florida" #15: initiating Main Mode
    2013:12:23-16:28:59 ADV001-BUASTARO-1 pluto[2278]: "S_ADV001 Florida" #15: max number of retransmissions (20) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
    2013:12:23-16:28:59 ADV001-BUASTARO-1 pluto[2278]: "S_ADV001 Florida" #15: starting keying attempt 2 of an unlimited number
    2013:12:23-16:28:59 ADV001-BUASTARO-1 pluto[2278]: "S_ADV001 Florida" #16: initiating Main Mode to replace #15
    2013:12:23-16:42:09 ADV001-BUASTARO-1 pluto[2278]: "S_ADV001 Florida" #16: max number of retransmissions (20) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
    2013:12:23-16:42:09 ADV001-BUASTARO-1 pluto[2278]: "S_ADV001 Florida" #16: starting keying attempt 3 of an unlimited number
    2013:12:23-16:42:09 ADV001-BUASTARO-1 pluto[2278]: "S_ADV001 Florida" #18: initiating Main Mode to replace #16 


    IPsec VPN log for FL1 says:

    2013:12:23-16:47:20 ADV001-FLASTARO pluto[6813]: "S_ADV001 Buffalo" #93: responding to Main Mode
    2013:12:23-16:47:50 ADV001-FLASTARO pluto[6813]: "S_ADV001 Buffalo" #92: max number of retransmissions (2) reached STATE_MAIN_R1
    2013:12:23-16:48:00 ADV001-FLASTARO pluto[6813]: packet from 66.195.166.86:500: received Vendor ID payload [strongSwan]
    2013:12:23-16:48:00 ADV001-FLASTARO pluto[6813]: packet from 66.195.166.86:500: ignoring Vendor ID payload [Cisco-Unity]
    2013:12:23-16:48:00 ADV001-FLASTARO pluto[6813]: packet from 66.195.166.86:500: received Vendor ID payload [XAUTH]
    2013:12:23-16:48:00 ADV001-FLASTARO pluto[6813]: packet from 66.195.166.86:500: received Vendor ID payload [Dead Peer Detection]
    2013:12:23-16:48:00 ADV001-FLASTARO pluto[6813]: packet from 66.195.166.86:500: received Vendor ID payload [RFC 3947]
    2013:12:23-16:48:00 ADV001-FLASTARO pluto[6813]: packet from 66.195.166.86:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
    2013:12:23-16:48:00 ADV001-FLASTARO pluto[6813]: packet from 66.195.166.86:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2013:12:23-16:48:00 ADV001-FLASTARO pluto[6813]: packet from 66.195.166.86:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2013:12:23-16:48:00 ADV001-FLASTARO pluto[6813]: packet from 66.195.166.86:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00] 


    To be clear, NY and FL1 cannot talk to each other. However they can talk to every other location. (NC, CA, and FL2 can talk to NY and FL1)
Reply
  • 0
    ipsec status in NY says:

    000 "S_REF_baUkBfbQNt_0": 172.19.199.0/24===66.195.166.86[66.195.166.86]...173.78.251.17[173.78.251.17]===172.19.206.0/24; unrouted; eroute owner: #0
    ...
    000 #1: "S_REF_baUkBfbQNt_0" STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 0s
    000 #1: pending Phase 2 for "S_REF_baUkBfbQNt_0" replacing #0


    ipsec status in FL1 says:


    000 "S_REF_KoHrEbuxjX_0": 172.19.206.0/24===173.78.251.17[173.78.251.17]...66.195.166.86[66.195.166.86]===172.19.199.0/24; unrouted; eroute owner: #0
    000 "S_REF_KoHrEbuxjX_0":   newest ISAKMP SA: #0; newest IPsec SA: #0;
    ...
    000 #26: "S_REF_KoHrEbuxjX_0" STATE_MAIN_R1 (sent MR1, expecting MI2); EVENT_RETRANSMIT in 22s
    000 #27: "S_REF_KoHrEbuxjX_0" STATE_MAIN_R1 (sent MR1, expecting MI2); EVENT_RETRANSMIT in 2s
    000 #1: "S_REF_KoHrEbuxjX_0" STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 27s
    000 #1: pending Phase 2 for "S_REF_KoHrEbuxjX_0" replacing #0



    IPsec VPN log on NY says:

    2013:12:23-16:15:49 ADV001-BUASTARO-1 pluto[2278]: "S_ADV001 Florida" #15: initiating Main Mode
    2013:12:23-16:28:59 ADV001-BUASTARO-1 pluto[2278]: "S_ADV001 Florida" #15: max number of retransmissions (20) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
    2013:12:23-16:28:59 ADV001-BUASTARO-1 pluto[2278]: "S_ADV001 Florida" #15: starting keying attempt 2 of an unlimited number
    2013:12:23-16:28:59 ADV001-BUASTARO-1 pluto[2278]: "S_ADV001 Florida" #16: initiating Main Mode to replace #15
    2013:12:23-16:42:09 ADV001-BUASTARO-1 pluto[2278]: "S_ADV001 Florida" #16: max number of retransmissions (20) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
    2013:12:23-16:42:09 ADV001-BUASTARO-1 pluto[2278]: "S_ADV001 Florida" #16: starting keying attempt 3 of an unlimited number
    2013:12:23-16:42:09 ADV001-BUASTARO-1 pluto[2278]: "S_ADV001 Florida" #18: initiating Main Mode to replace #16 


    IPsec VPN log for FL1 says:

    2013:12:23-16:47:20 ADV001-FLASTARO pluto[6813]: "S_ADV001 Buffalo" #93: responding to Main Mode
    2013:12:23-16:47:50 ADV001-FLASTARO pluto[6813]: "S_ADV001 Buffalo" #92: max number of retransmissions (2) reached STATE_MAIN_R1
    2013:12:23-16:48:00 ADV001-FLASTARO pluto[6813]: packet from 66.195.166.86:500: received Vendor ID payload [strongSwan]
    2013:12:23-16:48:00 ADV001-FLASTARO pluto[6813]: packet from 66.195.166.86:500: ignoring Vendor ID payload [Cisco-Unity]
    2013:12:23-16:48:00 ADV001-FLASTARO pluto[6813]: packet from 66.195.166.86:500: received Vendor ID payload [XAUTH]
    2013:12:23-16:48:00 ADV001-FLASTARO pluto[6813]: packet from 66.195.166.86:500: received Vendor ID payload [Dead Peer Detection]
    2013:12:23-16:48:00 ADV001-FLASTARO pluto[6813]: packet from 66.195.166.86:500: received Vendor ID payload [RFC 3947]
    2013:12:23-16:48:00 ADV001-FLASTARO pluto[6813]: packet from 66.195.166.86:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
    2013:12:23-16:48:00 ADV001-FLASTARO pluto[6813]: packet from 66.195.166.86:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2013:12:23-16:48:00 ADV001-FLASTARO pluto[6813]: packet from 66.195.166.86:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2013:12:23-16:48:00 ADV001-FLASTARO pluto[6813]: packet from 66.195.166.86:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00] 


    To be clear, NY and FL1 cannot talk to each other. However they can talk to every other location. (NC, CA, and FL2 can talk to NY and FL1)
Children
No Data