Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 2612 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Site to Site links stop passing traffic.

Simon Shaw
I have a fair few VPN site to site links.  In the last few months I have been having many issues with Moscow-London and Beijing-Hong Kong links.

The IPSEC site to site links work fine, link shows as up!

But, no traffic passes them, cannot ping over them to any IP in the remote sites.  Rebooting the devices brings the links back up but no luck.

I was using Certs for the link auth.  In desperation I changed to RSA key auth and this fixed the issue.

Now, Moscow-London is broken again and it already uses RSA key.

Any ideas?  As I say, the links come up ok.

Log below.

2015:02:11-11:54:16 mow pluto[6334]: added connection description "S_LondonOffice"
2015:02:11-11:54:16 mow pluto[6334]: "S_LondonOffice" #44: initiating Main Mode
2015:02:11-11:54:17 mow pluto[6334]: packet from 80.87.22.91:500: received Vendor ID payload [strongSwan]
2015:02:11-11:54:17 mow pluto[6334]: packet from 80.87.22.91:500: ignoring Vendor ID payload [Cisco-Unity]
2015:02:11-11:54:17 mow pluto[6334]: packet from 80.87.22.91:500: received Vendor ID payload [XAUTH]
2015:02:11-11:54:17 mow pluto[6334]: packet from 80.87.22.91:500: received Vendor ID payload [Dead Peer Detection]
2015:02:11-11:54:17 mow pluto[6334]: packet from 80.87.22.91:500: received Vendor ID payload [RFC 3947]
2015:02:11-11:54:17 mow pluto[6334]: packet from 80.87.22.91:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
2015:02:11-11:54:17 mow pluto[6334]: packet from 80.87.22.91:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
2015:02:11-11:54:17 mow pluto[6334]: packet from 80.87.22.91:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
2015:02:11-11:54:17 mow pluto[6334]: packet from 80.87.22.91:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
2015:02:11-11:54:17 mow pluto[6334]: "S_LondonOffice" #45: responding to Main Mode
2015:02:11-11:54:17 mow pluto[6334]: "S_LondonOffice" #45: NAT-Traversal: Result using RFC 3947: no NAT detected
2015:02:11-11:54:17 mow pluto[6334]: "S_LondonOffice" #45: Peer ID is ID_FQDN: 'lon.micromine.com'
2015:02:11-11:54:17 mow pluto[6334]: "S_LondonOffice" #45: we don't have a cert
2015:02:11-11:54:17 mow pluto[6334]: "S_LondonOffice" #45: Dead Peer Detection (RFC 3706) enabled
2015:02:11-11:54:17 mow pluto[6334]: "S_LondonOffice" #45: sent MR3, ISAKMP SA established
2015:02:11-11:54:17 mow pluto[6334]: "S_LondonOffice" #46: responding to Quick Mode
2015:02:11-11:54:18 mow pluto[6334]: id="2203" severity="info" sys="SecureNet" sub="vpn" event="Site-to-site VPN up" variant="ipsec" connection="LondonOffice" address="27.13.68.112" local_net="10.0.114.0/24" remote_net="10.0.41.0/24"
2015:02:11-11:54:18 mow pluto[6334]: "S_LondonOffice" #46: IPsec SA established {ESP=>0x99f5ff5a 


This thread was automatically locked due to age.
  • 0
    PS: The only wild ideas I have are China and Russian security forces?  My numerous other links are fine.
  • 0
    Simon, how about the London log for the same tunnel build at that time (an hour earlier there)?  That log looks fine.

    Also, have you checked #1 in Rulz for both sites?

    It could be the Russian mafia. [;)]  In China, I thought the Great Firewall of China prevented VPNs now.  Does anyone else have an active VPN there?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    China works OK, they are mostly blocking public VPN services, whereas we set up a VM in Hong Kong to relay via.

    I have tried turning IPS off.  Advanced Threat Protection shows 0.
    Packetfilter log - nada.

    Moscow has 2 x IPSEC links, one to London and one to Perth, the London one is up but not passing traffic.  The Perth one is up and operating fine.

    VPN log on London looks fine too.

    I disabled the LON-MOW IPSEC link and created a site to site VPN using SSL instead and it is now operating fine over the new link.

    Quite concerning.  Previously when this happened I was using certs, I tried to create again with newly generated certs and still nothing, I only fixed it by using RSA key auth instead.  Now with that failed seems I need to use SSL.

    The links operate fine for months, then this happens out of the blue.
  • 0
    I have tried turning IPS off.

    Simon, sometimes with IPsec, traffic looks like UDP Flooding - that's the reason to look in the IPS log.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML