IPSEC nach Update werden keine VPN Tunnel mehr aufgebaut

1. offizieller Beitrag

    Hallo habe soeben mal "spaßhalber" unser produktivgerät von 2.3 auf 2.4 upgradet. Jo nun bin ich froh das die Sicherung in EFW so gut funktioniert :D

    Zum Problem:

    Nach dem Upgrade blieben alle Tunnel auf "beendet"

    efw Log sagt:

    Code
    packet from x.x.x.x:500: received Vendor ID payload [Dead Peer Detection]
packet from x.x.x.x:500: received Vendor ID payload [RFC 3947] meth=110, but port floating is off
packet from x.x.x.x:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] meth=108, but port floating is off
packet from x.x.x.x:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] meth=107, but port floating is off
packet from x.x.x.x:500: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]

    Das "received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] meth=107, but port floating is off" Macht mich extrem stutzig

    Das bei ALLEN der 10 VPN's. Die gegenseiten sind von anderen Endian's 2.3 und 2.2er bis IPfire bis hin zu Netgears und FortiGate

    Ein der gegenseiten (IPfire) zb sagt:

    Code
    21:39:34	vpnwatch: 	Remote IP for host x.x.x.x has changed or no connection is established, re starting connection to x.x.x.x.
21:34:24	pluto[3512]: 	"KM" #102: initiating Main Mode
21:34:24	pluto[3512]: 	added connection description "KM"
21:34:24	pluto[3512]: 	"KM" #101: deleting state (STATE_MAIN_I1)
21:34:24	pluto[3512]: 	"KM": deleting connection
21:34:24	pluto[3512]: 	loading secrets from "/etc/ipsec.secrets"
21:34:24	pluto[3512]: 	forgetting secrets

    An den Configs wurde natürlich von meiner Seite aus nichts geändert. Muss ich was ändern nach dem Upgrade des Openswan? Erreicht er die VPN Ports nicht?

    Tach!

    Ich hab dasselbe Problem: Unmittelbar nach dem Update ging der IPsec Tunnel nicht mehr auf :(
    Bei mir gibt es aber andere Meldungen im Log. Weiss nicht genau ob das die Ursache ist, aber sieht für mich nach Fehler aus:

    Code
    May 27 21:14:00 pluto[16728] Using KLIPS IPsec interface code on 2.6.27.19-72.e22
May 27 21:14:00 pluto[16728] Changed path to directory '/etc/ipsec/ipsec.d/cacerts'
May 27 21:14:00 pluto[16728] Could not change to directory '/etc/ipsec/ipsec.d/aacerts': /home/httpd/cgi-bin
May 27 21:14:00 pluto[16728] Could not change to directory '/etc/ipsec/ipsec.d/ocspcerts': /home/httpd/cgi-bin
May 27 21:14:00 pluto[16728] Changing to directory '/etc/ipsec/ipsec.d/crls'
May 27 21:14:00 pluto[16728] Warning: empty directory
May 27 21:14:00 ipsec_setup ...Openswan IPsec started
May 27 21:14:00 ipsec__plutorun: can not load config '/etc/ipsec/ipsec.conf': /etc/ipsec/ipsec.conf:30 syntax error, unexpected STRING [pfsgroup]
May 27 21:14:00 ipsec__plutorun: can not load config '/etc/ipsec/ipsec.conf': /etc/ipsec/ipsec.conf:30 syntax error, unexpected STRING [pfsgroup]
May 27 21:14:00 ipsec__plutorun: can not load config '/etc/ipsec/ipsec.conf': /etc/ipsec/ipsec.conf:30 syntax error, unexpected STRING [pfsgroup]

    Jemand ne Idee ?

    Gruß,
    Michael

    Zitat von "henneminator"

    Tach!

    Ich hab dasselbe Problem: Unmittelbar nach dem Update ging der IPsec Tunnel nicht mehr auf :(
    Bei mir gibt es aber andere Meldungen im Log. Weiss nicht genau ob das die Ursache ist, aber sieht für mich nach Fehler aus:

    Code
    May 27 21:14:00 pluto[16728] Using KLIPS IPsec interface code on 2.6.27.19-72.e22
May 27 21:14:00 pluto[16728] Changed path to directory '/etc/ipsec/ipsec.d/cacerts'
May 27 21:14:00 pluto[16728] Could not change to directory '/etc/ipsec/ipsec.d/aacerts': /home/httpd/cgi-bin
May 27 21:14:00 pluto[16728] Could not change to directory '/etc/ipsec/ipsec.d/ocspcerts': /home/httpd/cgi-bin
May 27 21:14:00 pluto[16728] Changing to directory '/etc/ipsec/ipsec.d/crls'
May 27 21:14:00 pluto[16728] Warning: empty directory
May 27 21:14:00 ipsec_setup ...Openswan IPsec started
May 27 21:14:00 ipsec__plutorun: can not load config '/etc/ipsec/ipsec.conf': /etc/ipsec/ipsec.conf:30 syntax error, unexpected STRING [pfsgroup]
May 27 21:14:00 ipsec__plutorun: can not load config '/etc/ipsec/ipsec.conf': /etc/ipsec/ipsec.conf:30 syntax error, unexpected STRING [pfsgroup]
May 27 21:14:00 ipsec__plutorun: can not load config '/etc/ipsec/ipsec.conf': /etc/ipsec/ipsec.conf:30 syntax error, unexpected STRING [pfsgroup]

    Jemand ne Idee ?

    Gruß,
    Michael

    Hallo Michael,

    Eine Lösung zu deinem Problem solltest du hier finden: http://bugs.endian.com/view.php?id=2927.
    Gib mir bitte Bescheid, ob dieser Workaround für dich funktioniert hat.

    Christian

    Hallo,

    auch ich habe damit zu kämpfen, und da ich zu faul bin alles neu einzugeben habe ich einen Workaround gefunden:

    Grund für das Problem ist der Eintrag "pfsgroup=xxx" in der ipsec.conf. Hierdurch startet der IPSec-Daemon nicht.

    Benötigt: ssh-Programm (Putty), und z.B. Secure Copy.

    Vorgehensweise:

    1.Auf SSH-Shell:
    /etc/init.d/ipsec stop

    2. Mit Secure Copy (oder einem Editor in der SSH-Shell) die Datei /etc/ipsec/ipsec.conf editieren und alle Zeilen mit "pfsgroup=" löschen.

    3. Auf SSH-Shell:
    /etc/init.d/ipsec start

    Dann funktioniert ipsec wieder. Allerdings hat die Sache einen grossen Haken:
    Nach reboot, nach editieren der Optionen in der GUI werden die Werte wieder überschrieben :(
    Aus Zeitmangel habe ich nicht weiter nachgeschaut, wo die Grundkonfig liegt.

    Ich hoffe das hilft schon mal für's erste, ein Update soll ja (siehe oben) bald erscheinen.

    Grüße,

    ice