Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 2613 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

All IPSEC Site-2-Site VPNs wont come up after daily ADSL reconnect

seroal
Hi,

I´ve installed a SG-135 Active-Passive Cluster, connected to the internet with pppoe ADSL. After the daily reconnect at arround 4.00am the VPNs won´t come up. For me it seems, that the ipsec process doesn´t handle the unvalid SAs not in the right way?!

I´ve attached the ipsec.log, perhaps somebody gets an idea of the problem.... For the moment, I can surround this problem, by disabling all connections for a short time and then re-enable it. This brings all the tunnels up again. Regarding to the attached Log, Node-1 is master.

I think this messages are interesting (after DSL Reconnect):
2015:04:23-04:11:05 secure-1 pluto[13815]: packet from 1.2.3.4:500: Informational Exchange is for an unknown (expired?) SA
2015:04:23-04:14:16 secure-1 pluto[13815]: "S_REF_IpsSitVPN3_0" #3: max number of retransmissions (20) reached STATE_MAIN_I1.  No response (or no acceptable response) to our first IKE message
2015:04:23-04:14:16 secure-1 pluto[13815]: "S_REF_IpsSitVPN3_0" #3: starting keying attempt 2 of an unlimited number
2015:04:23-04:14:16 secure-1 pluto[13815]: "S_REF_IpsSitVPN3_0" #4: initiating Main Mode to replace #3




Bye
Sebastian


This thread was automatically locked due to age.
ipsec.log.zip
  • 0
    Sebastian, what device is on the other side - another UTM?(1)
    (2) How many IPsec Connection definitions do you have?
    (3) Do you have the same problem with all of them?
    (4) Do you have Remote Gateways with "Initiate connection" on both sides of all tunnels? 
    (5) Did you have the same problem before configuring Hot-Standby? 
    (6) What 'Backup interface' do you have selected on the 'Configuration' tab of 'High Availability'?

    Cheers - Bob
    PS Instead of obfuscating the IPs by using 1.2.3.4 (a reserved address in the UTM, BTW), replace the two middle octets with xx and yy or something similar.  Otherwise, key information is not preserved.  Also, about 60 log lines beginning with the incident and 60 beginning with the restart would have been what others needed to see.
  • 0 in reply to BAlfson
    Sebastian, what device is on the other side - another UTM?(1)
    -Different Devices: Cisco, Lancom
    (2) How many IPsec Connection definitions do you have?
    ->3
    (3) Do you have the same problem with all of them?
    ->YES
    (4) Do you have Remote Gateways with "Initiate connection" on both sides of 
    all tunnels? 
    ->YES
    (5) Did you have the same problem before configuring Hot-Standby? 
    ->HS was configured directly after setup, so I can´t say.
    (6) What 'Backup interface' do you have selected on the 'Configuration' tab of 'High Availability'?
    - None

    Cheers - Bob
    PS Instead of obfuscating the IPs by using 1.2.3.4 (a reserved address in the UTM, BTW), replace the two middle octets with xx and yy or something similar.  Otherwise, key information is not preserved.  Also, about 60 log lines beginning with the incident and 60 beginning with the restart would have been what others needed to see.


    I attached the file again, hopefully its better to read now.
    ipsec-2015-04-23.zip
  • 0
    Good morning everybody,

    this problem is solved. Unbelievable, but it works after upgrading the Zyxel VMG1312 to (VMG1312-B30A_1.00(AATO.1)C0.zip)

    I think without this thread (https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/55072) and the help from our distributor we wouldn´t have fixed the problem so fast.

    Ciao
    Sebastian