Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 51047 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sonicwall to Sophos IPSEC stays down after rekey

bwcms
I have a sonicwall nsa2400 connecting to my UTM running 9.3.x.

The tunnel comes up fine and I pass traffic... for a while. It seems like about the time it rekeys, the tunnel drops and most never comes back up.

I see messages like this in the Sonicwall:

RECEIVED>>> ISAKMP OAK INFO (InitCookie:0xefa89df1ea03dad5 RespCookie:0x5952a2256c190756, MsgID: 0x2E84E656)  (NOTIFY: PAYLOAD_MALFORMED)
IKE negotiation aborted due to Timeout

(BTW, I know the PSK is good because the tunnel works fine for a period of time).

On the UTM side, I see these:
2015:08:19-14:59:46 utm-1 pluto[6671]: "S_REF_IpsSitCmsCorp_1"[1] xx.xx.xx.78 #20294: initiating Main Mode to replace #20284
2015:08:19-14:59:46 utm-1 pluto[6671]: "S_REF_IpsSitCmsCorp_1"[1] xx.xx.xx.78 #20294: ignoring Vendor ID payload [5b362bc820f60008]
2015:08:19-14:59:46 utm-1 pluto[6671]: "S_REF_IpsSitCmsCorp_1"[1] xx.xx.xx.78 #20294: received Vendor ID payload [RFC 3947]
2015:08:19-14:59:46 utm-1 pluto[6671]: "S_REF_IpsSitCmsCorp_1"[1] xx.xx.xx.78 #20294: enabling possible NAT-traversal with method 3
2015:08:19-14:59:46 utm-1 pluto[6671]: "S_REF_IpsSitCmsCorp_1"[1] xx.xx.xx.78 #20294: ignoring Vendor ID payload [404bf439522ca3f6]
2015:08:19-14:59:46 utm-1 pluto[6671]: "S_REF_IpsSitCmsCorp_1"[1] xx.xx.xx.78 #20294: received Vendor ID payload [XAUTH]
2015:08:19-14:59:46 utm-1 pluto[6671]: "S_REF_IpsSitCmsCorp_1"[1] xx.xx.xx.78 #20294: received Vendor ID payload [Dead Peer Detection]
2015:08:19-14:59:46 utm-1 pluto[6671]: "S_REF_IpsSitCmsCorp_1"[1] xx.xx.xx.78 #20294: NAT-Traversal: Result using RFC 3947: no NAT detected
2015:08:19-14:59:46 utm-1 pluto[6671]: "S_REF_IpsSitCmsCorp_1"[1] xx.xx.xx.78 #20294: Informational Exchange message must be encrypted
2015:08:19-14:59:54 utm-1 pluto[6671]: "S_REF_IpsSitCmsCorp_1"[1] xx.xx.xx.78 #20294: discarding duplicate packet; already STATE_MAIN_I3
2015:08:19-14:59:56 utm-1 pluto[6671]: "S_REF_IpsSitCmsCorp_1"[1] xx.xx.xx.78 #20294: Informational Exchange message must be encrypted
2015:08:19-15:00:03 utm-1 pluto[6671]: "S_REF_IpsSitCmsCorp_1"[1] xx.xx.xx.78 #20294: discarding duplicate packet; already STATE_MAIN_I3
2015:08:19-15:00:56 utm-1 pluto[6671]: "S_REF_IpsSitCmsCorp_1"[1] xx.xx.xx.78 #20294: max number of retransmissions (2) reached STATE_MAIN_I3.  Possible authentication failure: no acceptable response to our first encrypted message
2015:08:19-15:00:56 utm-1 pluto[6671]: "S_REF_IpsSitCmsCorp_1"[1] xx.xx.xx.78 #20294: starting keying attempt 107 of an unlimited number

Every once in a blue moon it'll reestablish, but I usually have to go into the sonicwall and disable/enable the tunnel for it to restablish.

If it matters, the UTM is in respond-only mode. 
IKE: main mode/ dh group 5/aes-256/sha256/7800 timeout
IPSec: ESP/aes-256/sha256/3600 timeout
PFS is not enabled.
DPD is enabled on both sides.
I have "enable keep alive" set on sonicwall.

Any ideas?


This thread was automatically locked due to age.
  • 0
    Hi, and welcome to the User BB!

    Is NAT-T enabled on both sides?  Is 'Enable probing of preshared keys' selected?  Please click on [Go Advanced] below and attach pictures of the IPsec Policy from the UTM and the Sonicwall.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi BAlfson, thank you for the response.

    I'm attaching those screenshots. Like I said, the tunnel does work until it drops (which I suspect is due to rekey). It just never reconnects.

    Thanks!
  • 0
    Those are the NAT-T and DPD settings.  I was more interested in the IPsec Policy for each side.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Well, since we sell the UTM and won't ever again sell anything Dell, I'll blame this problem on the SonicWALL. [;)]

    In the SonicWALL, disable IPsec Anti-Replay.  Any luck then?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Because I wanted to check logs for something else, I disabled the tunnel on the SW. I noticed a lot of IPSEC logs still showing up in the SW after. Not thinking much of it, I disabled it on the UTM side. Then it hit me - the UTM connection was set to respond-only. Why was it calling back to my SW? Only thing I could come up with is DPD.

    So I disabled DPD on the UTM and the tunnel has been "up" for hours (it may have rekeyed, but I haven't noticed anything odd in my actual usage). I'm not sure I'm out of the woods yet, and I'm not too happy that DPD is global vs a per-connection setting (since I may not always choose respond-only mode).
  • 0 in reply to bwcms
    Well, the tunnel dropped overnight, so no dice.

    I changed the profile used to AES-256-PFS which uses MD5 instead of SHA2 thinking MD5 vs SHA2 would help. It held up for about 5 hours and now I'm in the same boat.

    Before bashing the SW, I should note that it has a connection to a VMWare Edge Gateway (VSE) that is ROCK SOLID. The VSE is in the same environment as my UTM (I'm actually trying to replace/augment the VSE as it is a pretty dumb firewall).
  • 0
    I don't think you want to disable DPD in the UTM.  Did you try disabling Anti-Replay in the SW?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Disabled anti-replay yesterday afternoon and tunnel was down when I came in this morning.
  • 0
    It's definitely time to get Sophos Support involved.  There's something I'm not asking and I can't think of what it might be.  Someone needs to look at this.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML