IPSEC nach Update werden keine VPN Tunnel mehr aufgebaut

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • IPSEC nach Update werden keine VPN Tunnel mehr aufgebaut

    Hallo habe soeben mal "spaßhalber" unser produktivgerät von 2.3 auf 2.4 upgradet. Jo nun bin ich froh das die Sicherung in EFW so gut funktioniert :D

    Zum Problem:

    Nach dem Upgrade blieben alle Tunnel auf "beendet"

    efw Log sagt:

    Quellcode

    1. packet from x.x.x.x:500: received Vendor ID payload [Dead Peer Detection]
    2. packet from x.x.x.x:500: received Vendor ID payload [RFC 3947] meth=110, but port floating is off
    3. packet from x.x.x.x:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] meth=108, but port floating is off
    4. packet from x.x.x.x:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] meth=107, but port floating is off
    5. packet from x.x.x.x:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]


    Das "received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] meth=107, but port floating is off" Macht mich extrem stutzig

    Das bei ALLEN der 10 VPN's. Die gegenseiten sind von anderen Endian's 2.3 und 2.2er bis IPfire bis hin zu Netgears und FortiGate

    Ein der gegenseiten (IPfire) zb sagt:

    Quellcode

    1. 21:39:34 vpnwatch: Remote IP for host x.x.x.x has changed or no connection is established, re starting connection to x.x.x.x.
    2. 21:34:24 pluto[3512]: "KM" #102: initiating Main Mode
    3. 21:34:24 pluto[3512]: added connection description "KM"
    4. 21:34:24 pluto[3512]: "KM" #101: deleting state (STATE_MAIN_I1)
    5. 21:34:24 pluto[3512]: "KM": deleting connection
    6. 21:34:24 pluto[3512]: loading secrets from "/etc/ipsec.secrets"
    7. 21:34:24 pluto[3512]: forgetting secrets


    An den Configs wurde natürlich von meiner Seite aus nichts geändert. Muss ich was ändern nach dem Upgrade des Openswan? Erreicht er die VPN Ports nicht?
  • Re: IPSEC nach Update werden keine VPN Tunnel mehr aufgebaut

    Tach!

    Ich hab dasselbe Problem: Unmittelbar nach dem Update ging der IPsec Tunnel nicht mehr auf :(
    Bei mir gibt es aber andere Meldungen im Log. Weiss nicht genau ob das die Ursache ist, aber sieht für mich nach Fehler aus:

    Quellcode

    1. May 27 21:14:00 pluto[16728] Using KLIPS IPsec interface code on 2.6.27.19-72.e22
    2. May 27 21:14:00 pluto[16728] Changed path to directory '/etc/ipsec/ipsec.d/cacerts'
    3. May 27 21:14:00 pluto[16728] Could not change to directory '/etc/ipsec/ipsec.d/aacerts': /home/httpd/cgi-bin
    4. May 27 21:14:00 pluto[16728] Could not change to directory '/etc/ipsec/ipsec.d/ocspcerts': /home/httpd/cgi-bin
    5. May 27 21:14:00 pluto[16728] Changing to directory '/etc/ipsec/ipsec.d/crls'
    6. May 27 21:14:00 pluto[16728] Warning: empty directory
    7. May 27 21:14:00 ipsec_setup ...Openswan IPsec started
    8. May 27 21:14:00 ipsec__plutorun: can not load config '/etc/ipsec/ipsec.conf': /etc/ipsec/ipsec.conf:30 syntax error, unexpected STRING [pfsgroup]
    9. May 27 21:14:00 ipsec__plutorun: can not load config '/etc/ipsec/ipsec.conf': /etc/ipsec/ipsec.conf:30 syntax error, unexpected STRING [pfsgroup]
    10. May 27 21:14:00 ipsec__plutorun: can not load config '/etc/ipsec/ipsec.conf': /etc/ipsec/ipsec.conf:30 syntax error, unexpected STRING [pfsgroup]


    Jemand ne Idee ?

    Gruß,
    Michael
  • Re: IPSEC nach Update werden keine VPN Tunnel mehr aufgebaut

    "henneminator" schrieb:

    Tach!

    Ich hab dasselbe Problem: Unmittelbar nach dem Update ging der IPsec Tunnel nicht mehr auf :(
    Bei mir gibt es aber andere Meldungen im Log. Weiss nicht genau ob das die Ursache ist, aber sieht für mich nach Fehler aus:

    Quellcode

    1. May 27 21:14:00 pluto[16728] Using KLIPS IPsec interface code on 2.6.27.19-72.e22
    2. May 27 21:14:00 pluto[16728] Changed path to directory '/etc/ipsec/ipsec.d/cacerts'
    3. May 27 21:14:00 pluto[16728] Could not change to directory '/etc/ipsec/ipsec.d/aacerts': /home/httpd/cgi-bin
    4. May 27 21:14:00 pluto[16728] Could not change to directory '/etc/ipsec/ipsec.d/ocspcerts': /home/httpd/cgi-bin
    5. May 27 21:14:00 pluto[16728] Changing to directory '/etc/ipsec/ipsec.d/crls'
    6. May 27 21:14:00 pluto[16728] Warning: empty directory
    7. May 27 21:14:00 ipsec_setup ...Openswan IPsec started
    8. May 27 21:14:00 ipsec__plutorun: can not load config '/etc/ipsec/ipsec.conf': /etc/ipsec/ipsec.conf:30 syntax error, unexpected STRING [pfsgroup]
    9. May 27 21:14:00 ipsec__plutorun: can not load config '/etc/ipsec/ipsec.conf': /etc/ipsec/ipsec.conf:30 syntax error, unexpected STRING [pfsgroup]
    10. May 27 21:14:00 ipsec__plutorun: can not load config '/etc/ipsec/ipsec.conf': /etc/ipsec/ipsec.conf:30 syntax error, unexpected STRING [pfsgroup]


    Jemand ne Idee ?

    Gruß,
    Michael


    Hallo Michael,

    Eine Lösung zu deinem Problem solltest du hier finden: bugs.endian.com/view.php?id=2927.
    Gib mir bitte Bescheid, ob dieser Workaround für dich funktioniert hat.

    Christian
  • Re: IPSEC nach Update werden keine VPN Tunnel mehr aufgebaut

    Hallo,

    auch ich habe damit zu kämpfen, und da ich zu faul bin alles neu einzugeben habe ich einen Workaround gefunden:

    Grund für das Problem ist der Eintrag "pfsgroup=xxx" in der ipsec.conf. Hierdurch startet der IPSec-Daemon nicht.

    Benötigt: ssh-Programm (Putty), und z.B. Secure Copy.

    Vorgehensweise:

    1.Auf SSH-Shell:
    /etc/init.d/ipsec stop

    2. Mit Secure Copy (oder einem Editor in der SSH-Shell) die Datei /etc/ipsec/ipsec.conf editieren und alle Zeilen mit "pfsgroup=" löschen.

    3. Auf SSH-Shell:
    /etc/init.d/ipsec start

    Dann funktioniert ipsec wieder. Allerdings hat die Sache einen grossen Haken:
    Nach reboot, nach editieren der Optionen in der GUI werden die Werte wieder überschrieben :(
    Aus Zeitmangel habe ich nicht weiter nachgeschaut, wo die Grundkonfig liegt.

    Ich hoffe das hilft schon mal für's erste, ein Update soll ja (siehe oben) bald erscheinen.

    Grüße,

    ice