Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 4933 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RED 50 stays on "Starting RED"

gtdaqua
We have bought a new RED 50 to replace the RED 10. The RED 10 was working fine with no problems. 

The tunnel RED 50 simply won't come up. The console says "Starting RED" on the first line. The second line would change to:

"Trying wan1; Trying wan2; UTM "

The Sophos 220 Live Log shows this repeatedly. It seems the connection is coming up but is lost within seconds:



2013:11:13-10:16:55 BK-CI-ASG-01-2 red_server[20053]: A3400****: command 'CON_CLOSE'
2013:11:13-10:16:55 BK-CI-ASG-01-2 red_server[20053]: id="4202" severity="info" sys="System" sub="RED" name="RED Tunnel Down" red_id="A3400****" forced="0"
2013:11:13-10:17:14 BK-CI-ASG-01-2 red_server[20085]: SELF: New connection from 115.118.15.232 with ID A3400**** (cipher RC4-SHA), rev1
2013:11:13-10:17:14 BK-CI-ASG-01-2 red_server[20085]: SELF: Starting REDv2 protocol
2013:11:13-10:17:14 BK-CI-ASG-01-2 red_server[20085]: A3400****: connected OK, pushing config
2013:11:13-10:17:14 BK-CI-ASG-01-2 red_server[20085]: A3400****: Sending PEERS+113.30.136.220
2013:11:13-10:17:17 BK-CI-ASG-01-2 red_server[20085]: A3400****: command 'UMTS_STATUS value=OK'
2013:11:13-10:17:18 BK-CI-ASG-01-2 red_server[20085]: A3400****: command 'PING 0 uplink=WAN'
2013:11:13-10:17:18 BK-CI-ASG-01-2 red_server[20085]: id="4201" severity="info" sys="System" sub="RED" name="RED Tunnel Up" red_id="A3400****" forced="0"
2013:11:13-10:17:18 BK-CI-ASG-01-2 red_server[20085]: A3400****: PING remote_tx=0 local_rx=0 diff=0
2013:11:13-10:17:18 BK-CI-ASG-01-2 red_server[20085]: A3400****: PONG local_tx=0
2013:11:13-10:17:19 BK-CI-ASG-01-2 red_server[20085]: A3400****: command 'CON_CLOSE'
2013:11:13-10:17:19 BK-CI-ASG-01-2 red_server[20085]: id="4202" severity="info" sys="System" sub="RED" name="RED Tunnel Down" red_id="A3400****" forced="0"
2013:11:13-10:17:31 BK-CI-ASG-01-2 red_server[4640]: SELF: (Re-)loading device configurations
2013:11:13-10:17:34 BK-CI-ASG-01-2 red_server[4640]: SELF: (Re-)loading device configurations
2013:11:13-10:17:37 BK-CI-ASG-01-2 red_server[20141]: SELF: New connection from 115.118.15.232 with ID A3400**** (cipher RC4-SHA), rev1
2013:11:13-10:17:37 BK-CI-ASG-01-2 red_server[20141]: SELF: Starting REDv2 protocol
2013:11:13-10:17:37 BK-CI-ASG-01-2 red_server[20141]: A3400****: connected OK, pushing config
2013:11:13-10:17:37 BK-CI-ASG-01-2 red_server[20141]: A3400****: Sending PEERS+113.30.136.220
2013:11:13-10:17:40 BK-CI-ASG-01-2 red_server[20141]: A3400****: command 'UMTS_STATUS value=OK'
2013:11:13-10:17:40 BK-CI-ASG-01-2 red_server[20141]: A3400****: command 'PING 0 uplink=WAN'
2013:11:13-10:17:40 BK-CI-ASG-01-2 red_server[20141]: id="4201" severity="info" sys="System" sub="RED" name="RED Tunnel Up" red_id="A3400****" forced="0"
2013:11:13-10:17:40 BK-CI-ASG-01-2 red_server[20141]: A3400****: PING remote_tx=0 local_rx=0 diff=0
2013:11:13-10:17:40 BK-CI-ASG-01-2 red_server[20141]: A3400****: PONG local_tx=0
2013:11:13-10:17:42 BK-CI-ASG-01-2 red_server[20141]: A3400****: command 'CON_CLOSE'
2013:11:13-10:17:42 BK-CI-ASG-01-2 red_server[20141]: id="4202" severity="info" sys="System" sub="RED" name="RED Tunnel Down" red_id="A3400****" forced="0" 


Sophos UTM 220 is in Active/Active cluster using latest 9.106-17. We restarted both UTMs but the result is the same. [strike]One of the slaves in the Cluster is always in "Syncing" mode - never changes.[/strike]. Update: The nodes are now in Active/Active mode.

As from the log above you can see, that the tunnel keeps toggling between up and down. 

When I switch the ISP in RED 50's end, this is recorded:

2013:11:13-10:23:12 BK-CI-ASG-01-2 red_server[20776]: A3400****: PING remote_tx=0 local_rx=0 diff=0
2013:11:13-10:23:12 BK-CI-ASG-01-2 red_server[20776]: A3400****: PONG local_tx=0
2013:11:13-10:23:17 BK-CI-ASG-01-2 red_server[20863]: SELF: New connection from 182.65.167.187 with ID A3400**** (cipher RC4-SHA), rev1
2013:11:13-10:23:17 BK-CI-ASG-01-2 red_server[20863]: A3400****: already connected, releasing old connection.
2013:11:13-10:23:17 BK-CI-ASG-01-2 red_server[20776]: id="4202" severity="info" sys="System" sub="RED" name="RED Tunnel Down" red_id="A3400****" forced="0"
2013:11:13-10:23:17 BK-CI-ASG-01-2 red_server[20776]: A3400**** is disconnected.
2013:11:13-10:23:18 BK-CI-ASG-01-2 red_server[20863]: SELF: Starting REDv2 protocol
2013:11:13-10:23:18 BK-CI-ASG-01-2 red_server[20863]: A3400****: connected OK, pushing config
2013:11:13-10:23:18 BK-CI-ASG-01-2 red_server[20863]: A3400****: Sending PEERS+113.30.136.220
2013:11:13-10:23:20 BK-CI-ASG-01-2 red_server[20863]: A3400****: command 'UMTS_STATUS value=OK'
2013:11:13-10:23:21 BK-CI-ASG-01-2 red_server[20863]: A3400****: command 'PING 0 uplink=WAN'
2013:11:13-10:23:21 BK-CI-ASG-01-2 red_server[20863]: id="4201" severity="info" sys="System" sub="RED" name="RED Tunnel Up" red_id="A3400****" forced="0"
2013:11:13-10:23:21 BK-CI-ASG-01-2 red_server[20863]: A3400****: PING remote_tx=0 local_rx=0 diff=0
2013:11:13-10:23:21 BK-CI-ASG-01-2 red_server[20863]: A3400****: PONG local_tx=0
2013:11:13-10:23:36 BK-CI-ASG-01-2 red_server[20863]: A3400****: command 'PING 0 uplink=WAN'
2013:11:13-10:23:36 BK-CI-ASG-01-2 red_server[20863]: A3400****: PING remote_tx=0 local_rx=0 diff=0
2013:11:13-10:23:36 BK-CI-ASG-01-2 red_server[20863]: A3400****: PONG local_tx=0
2013:11:13-10:23:50 BK-CI-ASG-01-2 red_server[20863]: A3400****: command 'PING 0 uplink=WAN'
2013:11:13-10:23:50 BK-CI-ASG-01-2 red_server[20863]: A3400****: PING remote_tx=0 local_rx=0 diff=0
2013:11:13-10:23:50 BK-CI-ASG-01-2 red_server[20863]: A3400****: PONG local_tx=0
2013:11:13-10:23:55 BK-CI-ASG-01-2 red_server[20881]: SELF: New connection from 182.65.167.187 with ID A3400**** (cipher RC4-SHA), rev1
2013:11:13-10:23:55 BK-CI-ASG-01-2 red_server[20881]: A3400****: already connected, releasing old connection.
2013:11:13-10:23:55 BK-CI-ASG-01-2 red_server[20863]: id="4202" severity="info" sys="System" sub="RED" name="RED Tunnel Down" red_id="A3400****" forced="0"
2013:11:13-10:23:55 BK-CI-ASG-01-2 red_server[20863]: A3400**** is disconnected.
2013:11:13-10:23:56 BK-CI-ASG-01-2 red_server[20881]: SELF: Starting REDv2 protocol
2013:11:13-10:23:56 BK-CI-ASG-01-2 red_server[20881]: A3400****: connected OK, pushing config
2013:11:13-10:23:56 BK-CI-ASG-01-2 red_server[20881]: A3400****: Sending PEERS+113.30.136.220
2013:11:13-10:23:58 BK-CI-ASG-01-2 red_server[20881]: A3400****: command 'UMTS_STATUS value=OK' 


The log above keeps saying that is releasing the old connection - and its looping.

Is this a bug? Can Sophos support confirm please?

Thank you in advance.


This thread was automatically locked due to age.
  • 0
    I connected the RED 10 back and the tunnel won't come up now!! Supposedly it is "unable to set initial keys"

    Live Log:


    2013:11:13-10:32:53 BK-CI-ASG-01-2 red_server[23365]: SELF: RED50 fw version set to 2005
    2013:11:13-10:32:53 BK-CI-ASG-01-2 red_server[23365]: SELF: RED50 local fw version set to 2020
    2013:11:13-10:32:53 BK-CI-ASG-01-2 red_server[23365]: SELF: IO::Socket::SSL Version: 1.953
    2013:11:13-10:32:53 BK-CI-ASG-01-2 red_server[23365]: SELF: Startup - waiting 15 seconds ...
    2013:11:13-10:33:08 BK-CI-ASG-01-2 red_server[23477]: UPLOAD: Uploader process starting
    2013:11:13-10:33:08 BK-CI-ASG-01-2 red_server[23365]: SELF: (Re-)loading device configurations
    2013:11:13-10:33:08 BK-CI-ASG-01-2 red_server[23365]: A3200****: New device
    2013:11:13-10:33:08 BK-CI-ASG-01-2 red_server[23365]: A3200****: Staging config for upload
    2013:11:13-10:33:08 BK-CI-ASG-01-2 red_server[23365]: SELF: (Re-)loading device configurations
    2013:11:13-10:33:12 BK-CI-ASG-01-2 red_server[23477]: UPLOAD: [A3200****] Uploaded config to registry service
    2013:11:13-10:36:38 BK-CI-ASG-01-2 red_server[23823]: SELF: New connection from 182.65.167.187 with ID A3200**** (cipher RC4-SHA), rev1
    2013:11:13-10:36:39 BK-CI-ASG-01-2 redctl[23825]: key length: 32
    2013:11:13-10:36:39 BK-CI-ASG-01-2 redctl[23825]: ioctl: No such file or directory
    2013:11:13-10:36:39 BK-CI-ASG-01-2 red_server[23823]: A3200****: unable to set initial keys
    2013:11:13-10:36:39 BK-CI-ASG-01-2 red_server[23823]: id="4202" severity="info" sys="System" sub="RED" name="RED Tunnel Down" red_id="A3200****" forced="0"
    2013:11:13-10:36:39 BK-CI-ASG-01-2 red_server[23823]: A3200**** is disconnected.
    2013:11:13-10:36:50 BK-CI-ASG-01-2 red_server[23827]: SELF: New connection from 182.65.167.187 with ID A3200**** (cipher RC4-SHA), rev1
    2013:11:13-10:36:50 BK-CI-ASG-01-2 redctl[23829]: key length: 32
    2013:11:13-10:36:50 BK-CI-ASG-01-2 redctl[23829]: ioctl: No such file or directory
    2013:11:13-10:36:50 BK-CI-ASG-01-2 red_server[23827]: A3200****: unable to set initial keys
    2013:11:13-10:36:50 BK-CI-ASG-01-2 red_server[23827]: id="4202" severity="info" sys="System" sub="RED" name="RED Tunnel Down" red_id="A3200****" forced="0"
    2013:11:13-10:36:50 BK-CI-ASG-01-2 red_server[23827]: A3200**** is disconnected.
    2013:11:13-10:37:02 BK-CI-ASG-01-2 red_server[23834]: SELF: New connection from 182.65.167.187 with ID A3200**** (cipher RC4-SHA), rev1
    2013:11:13-10:37:02 BK-CI-ASG-01-2 redctl[23836]: key length: 32
    2013:11:13-10:37:02 BK-CI-ASG-01-2 redctl[23836]: ioctl: No such file or directory
    2013:11:13-10:37:02 BK-CI-ASG-01-2 red_server[23834]: A3200****: unable to set initial keys
    2013:11:13-10:37:02 BK-CI-ASG-01-2 red_server[23834]: id="4202" severity="info" sys="System" sub="RED" name="RED Tunnel Down" red_id="A3200****" forced="0"
    2013:11:13-10:37:02 BK-CI-ASG-01-2 red_server[23834]: A3200**** is disconnected.
    2013:11:13-10:37:10 BK-CI-ASG-01-2 red_server[23365]: SELF: (Re-)loading device configurations 


    Now our connectivity to HQ is still staying down!
  • 0 in reply to gtdaqua
    Another Update:

    Now RED 50 tunnel is up - But only if I connect two ISPs to the RED 50 device and the 2nd Uplink (wan2) MUST be in "Balancing" mode instead of "failover" (prefer failover).

    The tunnel is up via wan1. If wan2 is not connected, then the tunnel will never come up. But Internet traffic is flowing through. We can ping 8.8.8.8 but name resolution and web browsing will not happen. Checked Packet Filter, NAT Masquerading etc. It was all working fine with RED 10. We can connect to remote LANs, but Internet is no going through at all. It is supposed to go through Web Proxy Filter.

    Should I create a support ticket?
  • 0
    Yes, get Sophos Support involved.  This User BB is not monitored by Sophos, so it's not a way to reach them formally.  When you get the solution, please come back her to tell us what it was.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    We had exactly the above problem with a customer.   There were 3 ping pong cycles, then an "already connected"  + a drop link and then repeat the whole cycle again.   

    There were no problems with the existing 9 RED 10s already connected, but the RED 50 was giving us this problem.  Connected the RED 50 to our firewall no problems.   Reconnected it back to customer firewall.   3 ping pong flapping again.  Not RED... not UTM but ....

    Sophos support on the phone in the UK resolved it 3 minutes.  

    RED50 uses additional port 3410 as well as 3400 used by RED10.    3410 was being blocked by upstream firewall.   That is why RED10 was fine - uses only 3400, and why it was fine on our firewall.   Embarrassed shuffling of feet.  Allow port.   Problem solved.
  • 0 in reply to AdrienBelcourt
    We had exactly the above problem with a customer.   There were 3 ping pong cycles, then an "already connected"  + a drop link and then repeat the whole cycle again.   

    There were no problems with the existing 9 RED 10s already connected, but the RED 50 was giving us this problem.  Connected the RED 50 to our firewall no problems.   Reconnected it back to customer firewall.   3 ping pong flapping again.  Not RED... not UTM but ....

    Sophos support on the phone in the UK resolved it 3 minutes.  

    RED50 uses additional port 3410 as well as 3400 used by RED10.    3410 was being blocked by upstream firewall.   That is why RED10 was fine - uses only 3400, and why it was fine on our firewall.   Embarrassed shuffling of feet.  Allow port.   Problem solved.


    Thanks. Looks like useful info. I will try this on our firewall and let you know.

    Right now, the RED 10 is working after we forced the cluster to reboot. 

    As per your post, I think we should create a Packet Filter rule:

    "Allow Any -> Any: Port  3410".

    Let me see how this goes.
  • 0 in reply to gtdaqua
    Allowed TCP Port 3410 on Sophos 220 UTM:
    "Any to External Interface "- still no development.

    Same Loop - Same Problem.

    Ticket raised with Sophos Support.
  • 0
    Hi there,

    We are facing a similar problem at the moment. The construction is the same: a RED50 bound to an ASG 220.

    Adrien, would you explain what has to be done in order to solve it?
    Is this packet filter rule supposed to be created in the remote firewall/router (where the RED50 is located) or in our ASG220? And what is this packet filter rule supposed to look like?

    Thank you very much in advance!

    Best Regards,
    Sebastian
  • 0 in reply to aceint
    I went through this problem with a RED50 when I used a secondary external interface address. I recreated the RED connection to the main External interface instead and the issue is solved.
  • 0
    Sebastian, the solution wasn't a rule in the UTM - it was somewhere between the UTM and the RED 50.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML