Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 13447 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPsec VPN site to site dropping

Ross86
I have an iPsec VPN that's connected to Rackspace, it randomly disconnects every hour/5min/4 hours could be anything.  When I ping one if the internal addresses over the VPN one packet will drop it then reconnects itself and receives replies.

Here is what I'm seeing in the logs when it's disconnected:

"S_REF_IpsSitRackspace_0"[1] 89.234.57.186 #159: max number of retransmissions (20) reached STATE_MAIN_I1.  No response (or no acceptable response) to our first IKE message
2014:08:29-07:26:48 UTM-1 pluto[19469]: "S_REF_IpsSitRackspace_0"[1] 'IP ADDRESS' #159: starting keying attempt 42 of an unlimited number
2014:08:29-07:26:48 UTM-1 pluto[19469]: "S_REF_IpsSitRackspace_0"[1] IP ADDRESS#162: initiating Main Mode to replace #159
2014:08:29-07:26:48 UTM-1 pluto[19469]: packet from IP ADDRESS:500: ignoring informational payload, type NO_PROPOSAL_CHOSEN

I have DPD on and NAT tried turning them off doesn't make a difference maybe seemed to stay connected longer but that's all.  I turned on probe PSK because I read a Sophos kb about it as well.

VPN is respond only with PSK.

Any clues as to why this is happening?  This was  originally migrated from a Juniper SRX by a Sophos.  Now I can't confirm if this happened  on the SRX as we didn't receive alerts, or even if it's chasing a problem other than getting lots of alerts to say it's up and down.

Thanks
Ross


This thread was automatically locked due to age.
Parents
  • 0
    Ross, I'm starting to think this is either a problem with a PPPoE/A reconnect on your end or something on their end.

    I still think that you can solve the problem by replacing the "Respond only" Remote Gateway definition in the UTM with one that is "Initiate connection."  If that doesn't connect at all, you'll need to learn the internal IP of the Rackspace endpoint - enter that into the 'VPN ID (optional)' field of this definition.

    Cheers - Bob
    PS I don't remember if I've mentioned it on one of your threads, but it's not a best practice to use PSKs for site-to-site connections unless you have complex keys and change them at least once a quarter.  If this is your only site-to-site connection, RSA keys are probably all that you need as they have a public/private key structure.  If you have more than one, or just want to play with them, X509-based authentication is preferred.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Ross, I'm starting to think this is either a problem with a PPPoE/A reconnect on your end or something on their end.

    I still think that you can solve the problem by replacing the "Respond only" Remote Gateway definition in the UTM with one that is "Initiate connection."  If that doesn't connect at all, you'll need to learn the internal IP of the Rackspace endpoint - enter that into the 'VPN ID (optional)' field of this definition.

    Cheers - Bob
    PS I don't remember if I've mentioned it on one of your threads, but it's not a best practice to use PSKs for site-to-site connections unless you have complex keys and change them at least once a quarter.  If this is your only site-to-site connection, RSA keys are probably all that you need as they have a public/private key structure.  If you have more than one, or just want to play with them, X509-based authentication is preferred.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Unfiltered HTML