Thread Info
  • State Not Answered
  • Replies 16 replies
  • Subscribers 0 subscribers
  • Views 13041 views
  • Users 0 members are here
Options
Suggested

[7.395] Site-to-Site VPN not autostarting

Lionking
Still my IPsec VPN siste-to-site is not autostarting after reboot, always have to disable/enable the connection to get it going. I'm running IPsec with RSA-key, remote gateway (ASG 6.314) is initiating the connection.
  • 0 in reply to Lionking
    You use DSL on the respond-side? Is the problem the DSL interface not getting an IP after reboot or what? If so, the problem lies there and not with IPSec.
  • 0 in reply to trollvottel
    No problem getting IP-address after reboot, just problem with IP-sec not starting
  • 0 in reply to trollvottel
    Mario, my site-to-site was to a v7.306 remote, in non-initiate mode with a static ethernet connection, with my home firewall running the beta in initiate with a cable modem DHCP connection.
    All I did was apply the up2date on a working 7.390 system, which iirc was from a 7.380 ISO install. The VPNs had been created in the betas, not imported from a backup.

    I did not have any problems with IP connectivity; only with the site-to-site not starting after the up2date/reboot.

    Barry
  • 0 in reply to BarryG
    I just re-checked with DSL interface being down much longer. The initiating-side increased its timeout for connecting so that it showed an retry-connection attempt only every ~12 minutes in ipsec.log.

    Still, after the respond-side came up again, after a few minutes the tunnel was builtup successfully.

    Log of initiating-side:
    [...]
    2009:02:24-08:35:29 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #95: initiating Main Mode to replace #94
    2009:02:24-08:48:39 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #95: max number of retransmissions (20) reached STATE_MAIN_I1.  No response (or no acceptable response) to our first IKE message
    2009:02:24-08:48:39 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #95: starting keying attempt 87 of an unlimited number
    2009:02:24-08:48:39 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #96: initiating Main Mode to replace #95
    2009:02:24-09:01:49 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #96: max number of retransmissions (20) reached STATE_MAIN_I1.  No response (or no acceptable response) to our first IKE message
    2009:02:24-09:01:49 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #96: starting keying attempt 88 of an unlimited number
    2009:02:24-09:01:49 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #97: initiating Main Mode to replace #96
    2009:02:24-09:14:20 mst-pferd pluto[7233]: forgetting secrets
    2009:02:24-09:14:20 mst-pferd pluto[7233]: loading secrets from "/etc/ipsec.secrets"
    2009:02:24-09:14:20 mst-pferd pluto[7233]: Changing to directory '/etc/ipsec.d/cacerts'
    2009:02:24-09:14:20 mst-pferd pluto[7233]:   loaded CA cert file 'REF_CeRlOuUqoa.pem' (3053 bytes)
    2009:02:24-09:14:20 mst-pferd pluto[7233]: Changing to directory '/etc/ipsec.d/aacerts'
    2009:02:24-09:14:20 mst-pferd pluto[7233]: Changing to directory '/etc/ipsec.d/ocspcerts'
    2009:02:24-09:14:20 mst-pferd pluto[7233]: Changing to directory '/etc/ipsec.d/crls'
    2009:02:24-09:14:20 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0": deleting connection
    2009:02:24-09:14:20 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #97: deleting state (STATE_MAIN_I1)
    2009:02:24-09:14:20 mst-pferd pluto[7233]: added connection description "S_REF_iDVypvbcvH_0"
    2009:02:24-09:14:20 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #98: initiating Main Mode
    2009:02:24-09:14:20 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #98: ignoring Vendor ID payload [strongSwan 4.2.3]
    2009:02:24-09:14:20 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #98: ignoring Vendor ID payload [Cisco-Unity]
    2009:02:24-09:14:20 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #98: received Vendor ID payload [XAUTH]
    2009:02:24-09:14:20 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #98: received Vendor ID payload [Dead Peer Detection]
    2009:02:24-09:14:20 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #98: received Vendor ID payload [RFC 3947]
    2009:02:24-09:14:20 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #98: enabling possible NAT-traversal with method 3
    2009:02:24-09:14:20 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #98: NAT-Traversal: Result using RFC 3947: no NAT detected
    2009:02:24-09:14:20 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #98: we don't have a cert
    2009:02:24-09:14:20 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #98: Peer ID is ID_FQDN: '@mst-meiler.qa.astaro.de'
    2009:02:24-09:14:20 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #98: ISAKMP SA established
    2009:02:24-09:14:20 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #99: initiating Quick Mode RSASIG+ENCRYPT+TUNNEL+UP {using isakmp#98}
    2009:02:24-09:14:21 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #99: Dead Peer Detection (RFC 3706) enabled
    2009:02:24-09:14:21 mst-pferd pluto[7233]: "S_REF_iDVypvbcvH_0" #99: sent QI2, IPsec SA established {ESP=>0x12b31b5d 


    respond-side:
    [...]
    2009:02:24-09:11:28 mst-meiler ipsec_starter[12974]: Starting strongSwan 4.2.3 IPsec [starter]...
    2009:02:24-09:11:28 mst-meiler ipsec_starter[12985]: IP address or index of physical interface changed -> reinit of ipsec interface
    2009:02:24-09:11:28 mst-meiler pluto[12988]: Starting Pluto (strongSwan Version 4.2.3 THREADS LIBLDAP VENDORID CISCO_QUIRKS)
    2009:02:24-09:11:28 mst-meiler pluto[12988]:   including NAT-Traversal patch (Version 0.6c)
    2009:02:24-09:11:28 mst-meiler pluto[12988]: ike_alg: Activating OAKLEY_AES_CBC encryption: Ok
    2009:02:24-09:11:28 mst-meiler pluto[12988]: ike_alg: Activating OAKLEY_BLOWFISH_CBC encryption: Ok
    2009:02:24-09:11:28 mst-meiler pluto[12988]: ike_alg: Activating OAKLEY_SERPENT_CBC encryption: Ok
    2009:02:24-09:11:28 mst-meiler pluto[12988]: ike_alg: Activating OAKLEY_SHA2_256 hash: Ok
    2009:02:24-09:11:28 mst-meiler pluto[12988]: ike_alg: Activating OAKLEY_SHA2_384 hash: Ok
    2009:02:24-09:11:28 mst-meiler pluto[12988]: ike_alg: Activating OAKLEY_SHA2_512 hash: Ok
    2009:02:24-09:11:28 mst-meiler pluto[12988]: ike_alg: Activating OAKLEY_TWOFISH_CBC encryption: Ok
    2009:02:24-09:11:28 mst-meiler pluto[12988]: ike_alg: Activating OAKLEY_TWOFISH_CBC_SSH encryption: Ok
    2009:02:24-09:11:28 mst-meiler pluto[12988]: Testing registered IKE encryption algorithms:
    2009:02:24-09:11:28 mst-meiler pluto[12988]:   OAKLEY_DES_CBC self-test not available
    2009:02:24-09:11:28 mst-meiler pluto[12988]:   OAKLEY_BLOWFISH_CBC self-test not available
    2009:02:24-09:11:28 mst-meiler pluto[12988]:   OAKLEY_3DES_CBC self-test not available
    2009:02:24-09:11:28 mst-meiler pluto[12988]:   OAKLEY_AES_CBC self-test not available
    2009:02:24-09:11:28 mst-meiler pluto[12988]:   OAKLEY_SERPENT_CBC self-test not available
    2009:02:24-09:11:28 mst-meiler pluto[12988]:   OAKLEY_TWOFISH_CBC self-test not available
    2009:02:24-09:11:28 mst-meiler pluto[12988]:   OAKLEY_TWOFISH_CBC_SSH self-test not available
    2009:02:24-09:11:28 mst-meiler pluto[12988]: Testing registered IKE hash algorithms:
    2009:02:24-09:11:28 mst-meiler pluto[12988]:   OAKLEY_MD5 hash self-test passed
    2009:02:24-09:11:28 mst-meiler pluto[12988]:   OAKLEY_MD5 hmac self-test passed
    2009:02:24-09:11:28 mst-meiler pluto[12988]:   OAKLEY_SHA hash self-test passed
    2009:02:24-09:11:28 mst-meiler pluto[12988]:   OAKLEY_SHA hmac self-test passed
    2009:02:24-09:11:28 mst-meiler pluto[12988]:   OAKLEY_SHA2_256 hash self-test passed
    2009:02:24-09:11:28 mst-meiler pluto[12988]:   OAKLEY_SHA2_256 hmac self-test passed
    2009:02:24-09:11:28 mst-meiler pluto[12988]:   OAKLEY_SHA2_384 hash self-test passed
    2009:02:24-09:11:28 mst-meiler pluto[12988]:   OAKLEY_SHA2_384 hmac self-test passed
    2009:02:24-09:11:28 mst-meiler pluto[12988]:   OAKLEY_SHA2_512 hash self-test passed
    2009:02:24-09:11:28 mst-meiler pluto[12988]:   OAKLEY_SHA2_512 hmac self-test passed
    2009:02:24-09:11:28 mst-meiler pluto[12988]: All crypto self-tests passed
    2009:02:24-09:11:28 mst-meiler pluto[12988]: Using KLIPS IPsec interface code
    2009:02:24-09:11:28 mst-meiler pluto[12988]: Changing to directory '/etc/ipsec.d/cacerts'
    2009:02:24-09:11:28 mst-meiler pluto[12988]:   loaded CA cert file 'REF_uauraoGisx.pem' (3053 bytes)
    2009:02:24-09:11:28 mst-meiler pluto[12988]: Changing to directory '/etc/ipsec.d/aacerts'
    2009:02:24-09:11:28 mst-meiler pluto[12988]: Changing to directory '/etc/ipsec.d/ocspcerts'
    2009:02:24-09:11:28 mst-meiler pluto[12988]: Changing to directory '/etc/ipsec.d/crls'
    2009:02:24-09:11:28 mst-meiler pluto[12988]: listening for IKE messages
    2009:02:24-09:11:28 mst-meiler pluto[12988]: adding interface ipsec0/ppp0 10.0.6.143:500
    2009:02:24-09:11:28 mst-meiler pluto[12988]: adding interface ipsec0/ppp0 10.0.6.143:4500
    2009:02:24-09:11:28 mst-meiler pluto[12988]: loading secrets from "/etc/ipsec.secrets"
    2009:02:24-09:11:28 mst-meiler pluto[12988]: added connection description "S_REF_QoOJMaSwnx_0"
    2009:02:24-09:14:20 mst-meiler pluto[12988]: packet from 10.8.1.4:500: ignoring Vendor ID payload [strongSwan 4.2.3]
    2009:02:24-09:14:20 mst-meiler pluto[12988]: packet from 10.8.1.4:500: ignoring Vendor ID payload [Cisco-Unity]
    2009:02:24-09:14:20 mst-meiler pluto[12988]: packet from 10.8.1.4:500: received Vendor ID payload [XAUTH]
    2009:02:24-09:14:20 mst-meiler pluto[12988]: packet from 10.8.1.4:500: received Vendor ID payload [Dead Peer Detection]
    2009:02:24-09:14:20 mst-meiler pluto[12988]: packet from 10.8.1.4:500: received Vendor ID payload [RFC 3947]
    2009:02:24-09:14:20 mst-meiler pluto[12988]: packet from 10.8.1.4:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
    2009:02:24-09:14:20 mst-meiler pluto[12988]: packet from 10.8.1.4:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]
    2009:02:24-09:14:20 mst-meiler pluto[12988]: packet from 10.8.1.4:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
    2009:02:24-09:14:20 mst-meiler pluto[12988]: packet from 10.8.1.4:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
    2009:02:24-09:14:20 mst-meiler pluto[12988]: "S_REF_QoOJMaSwnx_0"[1] 10.8.1.4 #1: responding to Main Mode from unknown peer 10.8.1.4
    2009:02:24-09:14:20 mst-meiler pluto[12988]: "S_REF_QoOJMaSwnx_0"[1] 10.8.1.4 #1: NAT-Traversal: Result using RFC 3947: no NAT detected
    2009:02:24-09:14:20 mst-meiler pluto[12988]: "S_REF_QoOJMaSwnx_0"[1] 10.8.1.4 #1: Peer ID is ID_FQDN: '@mst-pferd.qa.astaro.de'
    2009:02:24-09:14:20 mst-meiler pluto[12988]: "S_REF_QoOJMaSwnx_0"[1] 10.8.1.4 #1: we don't have a cert
    2009:02:24-09:14:20 mst-meiler pluto[12988]: "S_REF_QoOJMaSwnx_0"[1] 10.8.1.4 #1: sent MR3, ISAKMP SA established
    2009:02:24-09:14:20 mst-meiler pluto[12988]: "S_REF_QoOJMaSwnx_0"[1] 10.8.1.4 #2: responding to Quick Mode 
    2009:02:24-09:14:21 mst-meiler pluto[12988]: "S_REF_QoOJMaSwnx_0"[1] 10.8.1.4 #2: Dead Peer Detection (RFC 3706) enabled
    2009:02:24-09:14:21 mst-meiler pluto[12988]: "S_REF_QoOJMaSwnx_0"[1] 10.8.1.4 #2: IPsec SA established {ESP=>0xf17f393b 
  • 0 in reply to trollvottel
    After updating from 7.395 to 7.400, my site-to-site IPSec VPN was down again.

    Barry
Unfiltered HTML