Mode Configuration broken after update to 9.207-19? IPSec

I use Equinux's VPN Tracker as my client to connect my home computer to the work network. Work is running Sophos UTM 9.207-19 and worked fine until recently. About the time I upgraded to the last version I think.

It's the but after XAUTH (this completes OK) and Mode Config. The only way I've managed to get it to work is to turn off Mode Config in VPN Tracker and manually enter my local IP (10.1.2.3).

I contected Equinox, giving them both VPN Tracker and Sophos's IPSec logs. This is their reply:

A normal VPN connection with your settings works like this:

- Phase 1
- XAUTH
- Mode Config
- Phase 2

The problem for you happens between XAUTH and Mode Config. XAUTH is completed successfully: the VPN gateway sends a status message indicating success, and VPN Tracker acknowledges its receipt. This acknowledgement does arrive at the VPN gateway here:

2014:10:08-23:41:50 astaro1-1 pluto[7965]: "D_VPN Tracker certificate"[5]114.76.29.181:4500 #32: received XAUTH ack, established

At this point, XAUTH is complete and it is time for VPN Tracker to send a Mode Config message. The VPN gateway receives that message and logs:

2014:10:08-23:41:53 astaro1-1 pluto[7965]: "D_VPN Tracker certificate"[5]114.76.29.181:4500 #32: received ModeCfg message when in state STATE_XAUTH_R3, and wearen't mode config client

STATE_XAUTH_R3 is the state where XAUTH is complete, but the VPN gateway does not seem to be prepared to handle Mode Config. Sophos/Astrao seem to use a Strongswan derivative, so I looked at the Strongswan source code (strongswan 4.3.2 - demux_8c.html). Normally, this case should apply:

else if (st->st_connection->spd.that.modecfg && IS_PHASE1(st->st_state)) {

 from_state = STATE_MODE_CFG_R0;

}

Instead it ends up with the error message. From the log, we do know that the current state is STATE_XAUTH_R3, so IS_PHASE1(st->st_state) will definitely be true. Thus the problem must be that st->st_connection->spd.that.modecfg is not true. However, spd.that.modecfg should be true if the VPN gateway expects VPN Tracker to do Mode Config.

Now the big questions is of course: Why has this stopped working for you? VPN Tracker's XAUTH/Mode Config handling has not changed in a long time, so I'm fairly certain that it can't be a change on VPN Tracker's end, and the logs confirm that everything occurs in the order that would be expected.

Were there any firmware updates on your Sophos/Astaro appliance? The version you mentioned was released Sep 23, the Technical Support Report has the last successful connection early on Sep 24, so the timing would match.

Any suggestions? Or is it a bug?

Thanks,

James.

This thread was automatically locked due to age.