Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 13447 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPsec VPN site to site dropping

Ross86
I have an iPsec VPN that's connected to Rackspace, it randomly disconnects every hour/5min/4 hours could be anything.  When I ping one if the internal addresses over the VPN one packet will drop it then reconnects itself and receives replies.

Here is what I'm seeing in the logs when it's disconnected:

"S_REF_IpsSitRackspace_0"[1] 89.234.57.186 #159: max number of retransmissions (20) reached STATE_MAIN_I1.  No response (or no acceptable response) to our first IKE message
2014:08:29-07:26:48 UTM-1 pluto[19469]: "S_REF_IpsSitRackspace_0"[1] 'IP ADDRESS' #159: starting keying attempt 42 of an unlimited number
2014:08:29-07:26:48 UTM-1 pluto[19469]: "S_REF_IpsSitRackspace_0"[1] IP ADDRESS#162: initiating Main Mode to replace #159
2014:08:29-07:26:48 UTM-1 pluto[19469]: packet from IP ADDRESS:500: ignoring informational payload, type NO_PROPOSAL_CHOSEN

I have DPD on and NAT tried turning them off doesn't make a difference maybe seemed to stay connected longer but that's all.  I turned on probe PSK because I read a Sophos kb about it as well.

VPN is respond only with PSK.

Any clues as to why this is happening?  This was  originally migrated from a Juniper SRX by a Sophos.  Now I can't confirm if this happened  on the SRX as we didn't receive alerts, or even if it's chasing a problem other than getting lots of alerts to say it's up and down.

Thanks
Ross


This thread was automatically locked due to age.
Parents
  • 0
    The UTM only does Main Mode, not Aggressive, so it's the same as the Juniper in that.

    "Respond only" is used when the other endpoint is behind a NATting router and the endpoint doesn't have a mechanism to communicate its local IP in establishing the IPsec tunnel.

    If there isn't a difference in the Policies, I suspect that "Initiate connection" would solve this problem.  It's important to know whether the IPsec endpoint at the other end has a local IP or the public one configured in your system as the 'Remote gateway'.  If it is a private IP, then the question is what VPN package is in use and whether it can send its "leftid" (in StrongSWAN parlance).

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    The UTM only does Main Mode, not Aggressive, so it's the same as the Juniper in that.

    "Respond only" is used when the other endpoint is behind a NATting router and the endpoint doesn't have a mechanism to communicate its local IP in establishing the IPsec tunnel.

    If there isn't a difference in the Policies, I suspect that "Initiate connection" would solve this problem.  It's important to know whether the IPsec endpoint at the other end has a local IP or the public one configured in your system as the 'Remote gateway'.  If it is a private IP, then the question is what VPN package is in use and whether it can send its "leftid" (in StrongSWAN parlance).

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Unfiltered HTML