Bonjour,
J'avais auparavant 2 routeurs reliés en VPN IP Sec (RV082 / SRP527W). L'un deux (RV082) était derrière un autre routeur, donc NAT. Ca a marché pas trop mal, hormis des déconnexions bizarres de temps à autre.
Depuis 2 semaines, mon 2ème routeur est aussi derrière un autre routeur. Pire, ce routeur est une Livebox Pro V3, avec son lot de plantage et autres joyeusetés (session expired !)
On a donc une liaison VPN IPSec à établir entre 2 routeurs, tout deux situés en DMZ derrière 2 routeurs.
Il y a 1 semaine, la liaison ne fonctionne plus pour la 1ère fois avec la nouvelle config (double NAT), et contrairement à avant, impossible de rétablir le pont !!!
J'ai tout essayé, en vain. J'ai refait la config en long en large et en travers, refait 10 fois les mêmes paramétrages, et au bout de la 10ème fois (après 2H30 de bataille), la liaison s'est rétablie sans comprendre pourquoi ?
Aujourd'hui, rebelotte. Liaison DOWN. Je regarde, rien d'anormal, mais impossible de faire revenir le lien. Les logs des 2 routeurs sont suspects. Le 1er (RV082), ne mentionne quasiment rien, à croire que mon routeur de l'autre côté est muet !
Citation :
Feb 10 19:01:52 2014 VPN Log (g2gips0) #8: initiating Main Mode
Feb 10 19:01:52 2014 VPN Log (g2gips0) #8: [Tunnel Negotiation Info] >>> Initiator Send Main Mode 1st packet
Feb 10 19:01:52 2014 VPN Log (g2gips0) #8: [Tunnel Negotiation Info] >>> Initiator Send Main Mode 1st packet
Feb 10 19:01:52 2014 System Log gateway_to_gateway.htm is changed.
Feb 10 19:09:08 2014 VPN Log (g2gips0): deleting connection
Feb 10 19:09:08 2014 VPN Log (g2gips0) #8: deleting state (STATE_MAIN_I1)
Feb 10 19:09:08 2014 VPN Log added connection description (g2gips0)
Feb 10 19:09:08 2014 VPN Log listening for IKE messages
Feb 10 19:09:08 2014 VPN Log forgetting secrets
Feb 10 19:09:08 2014 VPN Log loading secrets from '/etc/ipsec.d/ipsec.secrets'
Feb 10 19:09:09 2014 System Log gateway_to_gateway.htm is changed.
|
Et sur le SRP527 voilà les logs :
Citation :
Dump pluto log message in syslog :
cat /var/log/messages |grep pluto
Jan 1 02:29:39 TLSR0254 authpriv.warn pluto[1156]: "G2" #187: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
Jan 1 02:29:39 TLSR0254 authpriv.warn pluto[1156]: "G2" #187: STATE_MAIN_R1: sent MR1, expecting MI2
Jan 1 02:30:09 TLSR0254 authpriv.warn pluto[1156]: "G2" #186: max number of retransmissions (2) reached STATE_MAIN_R1
Jan 1 02:30:19 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [RFC 3947] method set to=109
Jan 1 02:30:19 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] meth=108, but already using method 109
Jan 1 02:30:19 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] meth=107, but already using method 109
Jan 1 02:30:19 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
Jan 1 02:30:19 TLSR0254 authpriv.warn pluto[1156]: "G2" #188: responding to Main Mode
Jan 1 02:30:19 TLSR0254 authpriv.warn pluto[1156]: "G2" #188: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
Jan 1 02:30:19 TLSR0254 authpriv.warn pluto[1156]: "G2" #188: STATE_MAIN_R1: sent MR1, expecting MI2
Jan 1 02:30:25 TLSR0254 authpriv.warn pluto[1156]: pending Quick Mode with 37.1.XXX.XXX "G2" took too long -- replacing phase 1
Jan 1 02:30:25 TLSR0254 authpriv.warn pluto[1156]: "G2" #189: initiating Main Mode to replace #185
Jan 1 02:30:49 TLSR0254 authpriv.warn pluto[1156]: "G2" #187: max number of retransmissions (2) reached STATE_MAIN_R1
Jan 1 02:30:59 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [RFC 3947] method set to=109
Jan 1 02:30:59 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] meth=108, but already using method 109
Jan 1 02:30:59 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] meth=107, but already using method 109
Jan 1 02:30:59 TLSR0254 authpriv.warn pluto[1156]: packet from 37.1.XXX.XXX:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]
Jan 1 02:30:59 TLSR0254 authpriv.warn pluto[1156]: "G2" #190: responding to Main Mode
|
Quelqu'un pourrait m'aider à comprendre ce qu'il se passe ? J'ai laissé également un message sur le forum Cisco.
Je ne comprends pas pourquoi la liaison s'établit, puis d'un coup se coupe et ne peut plus se rétablir. Les logs sont en plus bizarres. J'ai du dépanner du VPN auparavant, avec des soucis de phase IKE, de PFS, de Remote ID, etc. Mais là...
Je précise que ce soir, la liaison est toujours H.S. J'ai donc une agence complètement survoltée à l'autre bout de la France.
Merci à vous.
