IPsec ha dejado de funcionar

[rmacian]

Hola,

Tengo una VPN por ipsec entre un Fortigate B60 (mi extremo) y un lucent del otro lado. Entre 2 técnicos nos costó mucho ponerla en marcha y finalmente lo arreglamos siguiendo el manual pero sin estar bien seguros de que es lo que nos estaba fallando.

Desde esta mañana ha dejado de funcionar y hemos repasado que ambos tenemos los mismos parámetros de configuración. He activado el debug y no veo claro en que punto está fallando:

Haciendo un reset del tunnel y un flush a mano veo

Código: Seleccionar todo

0:VpnSantiago:VpnSantiago2: IPsec SA connect 3 X.X.X.X->Y.Y.Y.Y:500, natt_mode=0
0:VpnSantiago: using existing connection, dpd_fail=1
0:VpnSantiago:VpnSantiago2: IPsec SA connect 3 X.X.X.X->Y.Y.Y.Y:500, natt_mode=0
0:VpnSantiago: using existing connection, dpd_fail=1
0:VpnSantiago: link is idle 3 X.X.X.X->Y.Y.Y.Y:500 dpd=2 seqno=8
0:VpnSantiago: link is up 3 X.X.X.X->Y.Y.Y.Y:500
0:VpnSantiago:45: sent IKE msg (P1_RETRANSMIT): X.X.X.X:500->Y.Y.Y.Y:500, len=268
0:VpnSantiago:VpnSantiago2: IPsec SA connect 3 X.X.X.X->Y.Y.Y.Y:500, natt_mode=0
0:VpnSantiago: using existing connection, dpd_fail=0
0:VpnSantiago: found phase2 VpnSantiago2
0:VpnSantiago: IPsec SA connect 3 X.X.X.X->Y.Y.Y.Y:500 negotiating
0:VpnSantiago:45:VpnSantiago2:7: ISAKMP SA still negotiating, queuing quick-mode request
0:VpnSantiago: link is idle 3 X.X.X.X->Y.Y.Y.Y:500 dpd=2 seqno=8
0:VpnSantiago:VpnSantiago2: IPsec SA connect 3 X.X.X.X->Y.Y.Y.Y:500, natt_mode=0
0:VpnSantiago: using existing connection, dpd_fail=0
0:VpnSantiago: found phase2 VpnSantiago2
0:VpnSantiago: link is idle 3 X.X.X.X->Y.Y.Y.Y:500 dpd=2 seqno=8
0:VpnSantiago:VpnSantiago2: IPsec SA connect 3 X.X.X.X->Y.Y.Y.Y:500, natt_mode=0
0:VpnSantiago: using existing connection, dpd_fail=0
0:VpnSantiago: found phase2 VpnSantiago2
0:VpnSantiago: link fail 3 X.X.X.X->Y.Y.Y.Y:500 dpd=2
0:VpnSantiago: link down 3 X.X.X.X->Y.Y.Y.Y:500
0:VpnSantiago: deleting
0:VpnSantiago: flushing 
0:VpnSantiago: flushed 
0:VpnSantiago: deleted

Luego se empieza a repetir

Código: Seleccionar todo

:VpnSantiago: created DPD triggered connection: 0x8c5aae8 3 X.X.X.X->Y.Y.Y.Y:500.
0:VpnSantiago: new connection.
0:VpnSantiago:77: initiator: aggressive mode is sending 1st message...
0:VpnSantiago:77: cookie c351e6d396fbd7df/0000000000000000
0:VpnSantiago:77: sent IKE msg (agg_i1send): X.X.X.X:500->Y.Y.Y.Y:500, len=268
VpnSantiago: Initiator: sent Y.Y.Y.Y aggressive mode message #1 (OK)
0:VpnSantiago:77: sent IKE msg (P1_RETRANSMIT): X.X.X.X:500->Y.Y.Y.Y:500, len=268
0:VpnSantiago:VpnSantiago2: IPsec SA connect 3 X.X.X.X->Y.Y.Y.Y:500, natt_mode=0
0:VpnSantiago: using existing connection, dpd_fail=1
0:VpnSantiago: link fail 3 X.X.X.X->Y.Y.Y.Y:500 dpd=2
0:VpnSantiago: ignore link fail, too old
0:VpnSantiago:77: sent IKE msg (P1_RETRANSMIT): X.X.X.X:500->Y.Y.Y.Y:500, len=268
0:VpnSantiago:VpnSantiago2: IPsec SA connect 3 X.X.X.X->Y.Y.Y.Y:500, natt_mode=0
0:VpnSantiago: using existing connection, dpd_fail=1
0:VpnSantiago: link fail 3 X.X.X.X->Y.Y.Y.Y:500 dpd=2
0:VpnSantiago: ignore link fail, too old
shrank heap by 126976 bytes
0:VpnSantiago:VpnSantiago2: IPsec SA connect 3 X.X.X.X->Y.Y.Y.Y:500, natt_mode=0
0:VpnSantiago: using existing connection, dpd_fail=1
0:VpnSantiago:77: sent IKE msg (P1_RETRANSMIT): X.X.X.X:500->Y.Y.Y.Y:500, len=268
0:VpnSantiago: link fail 3 X.X.X.X->Y.Y.Y.Y:500 dpd=2
0:VpnSantiago: DPD fail 3 X.X.X.X->Y.Y.Y.Y:500 send failure, resetting ...
0:VpnSantiago: deleting
0:VpnSantiago: flushing 
0:VpnSantiago: flushed 
0:VpnSantiago: deleted
0:VpnSantiago: created DPD triggered connection: 0x8c5aae8 3 X.X.X.X->Y.Y.Y.Y:500.
0:VpnSantiago: new connection.

Si alguien me puede echar una mano se lo agradecería

[gabyrossi]

Hola revisaa si esta tildado el dp2 dpd_fail=1
y si del otro extremo tiene esa opcion, sino quitasela.

Podrias mostrar la config de la vpn y la politica?

saludos

[rmacian]

La VPN esta basada en política y no en interfaz.

Tengo una única política en la red de origen con la red de destino:

internal1(LAN) -> wan1(Enlace Internet)
Source Destination Schedule Service Profile Action
all RedSantiago always ANY ENCRYPT



Fase I

Código: Seleccionar todo

config vpn ipsec phase1
    edit "VpnSantiago"
        set type static
        set interface "wan1"
        set local-gw 0.0.0.0
        set localid ''
        set dpd enable
        set nattraversal disable
        set dhgrp 2
        set proposal 3des-md5
        set keylife 86400
        set authmethod psk
        set peertype one
        set xauthtype disable
        set mode aggressive
        set add-gw-route disable
        set remote-gw Y.Y.Y.Y
        set psksecret ENC BDrzRGUhG+lvN/L0wcLLXh8JihDaslkjaF9wnxrjKOzTgVI9b8sRJeIemrqHWe27JXaYD/V7Ny/SvapXw6nmLnT3VbHDtJGjwcBvuzf9V81JKp
        set peerid "Y.Y.Y.Y"
        set dpd-retrycount 3
        set dpd-retryinterval 5
    next
end

Fase 2

A es mi LAN
B es la LAN del otro extremo

Código: Seleccionar todo

config vpn ipsec phase2
    edit "VpnSantiago2"
        set auto-negotiate enable
        set keepalive enable
        set phase1name "VpnSantiago"
        set proposal 3des-md5
        set dst-subnet B.B.B.B 255.255.255.0
        set keylifeseconds 14400
        set src-subnet A.A.A.A 255.255.255.0
    next
end

Código: Seleccionar todo

minastiriz # diag vpn tunnel list
list all ipsec tunnel in vd 0
------------------------------------------------------
name=VpnSantiago X.X.X.X:0->Y.Y.Y.Y:0 lgwy=dyn tun=tunnel mode=auto bound_if=3
proxyid_num=1 child_num=0 refcnt=7 ilast=4 olast=234
stat: rxp=0 txp=0 rxb=0 txb=0
dpd: mode=active on=1 idle=5000ms retry=3 count=3 seqno=9
natt: mode=none draft=0 interval=0 remote_port=0
proxyid=OesiaSantiago2 proto=0 sa=0 ref=2 auto_negotiate=1 serial=2
  src: A.A.A.A/255.255.255.0:0
  dst: B.B.B.B/255.255.255.0:0

El DPD está activado pero desactivandolo sigue sin funcionar. Después de hacer algún cambió mediante la interfaz web, se aplica al momento o hay que hacer un reset ?

[rmacian]

Al final parece que se ha solucionado, han vuelto a configurar el otro extremo

[gabyrossi]

hola, ok el problema estaba en el otro equipo.

saludos