<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:p="urn:schemas-microsoft-com:office:powerpoint" xmlns:a="urn:schemas-microsoft-com:office:access" xmlns:dt="uuid:C2F41010-65B3-11d1-A29F-00AA00C14882" xmlns:s="uuid:BDC6E3F0-6DA3-11d1-A2A3-00AA00C14882" xmlns:rs="urn:schemas-microsoft-com:rowset" xmlns:z="#RowsetSchema" xmlns:b="urn:schemas-microsoft-com:office:publisher" xmlns:ss="urn:schemas-microsoft-com:office:spreadsheet" xmlns:c="urn:schemas-microsoft-com:office:component:spreadsheet" xmlns:odc="urn:schemas-microsoft-com:office:odc" xmlns:oa="urn:schemas-microsoft-com:office:activation" xmlns:html="http://www.w3.org/TR/REC-html40" xmlns:q="http://schemas.xmlsoap.org/soap/envelope/" xmlns:rtc="http://microsoft.com/officenet/conferencing" xmlns:D="DAV:" xmlns:Repl="http://schemas.microsoft.com/repl/" xmlns:mt="http://schemas.microsoft.com/sharepoint/soap/meetings/" xmlns:x2="http://schemas.microsoft.com/office/excel/2003/xml" xmlns:ppda="http://www.passport.com/NameSpace.xsd" xmlns:ois="http://schemas.microsoft.com/sharepoint/soap/ois/" xmlns:dir="http://schemas.microsoft.com/sharepoint/soap/directory/" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:dsp="http://schemas.microsoft.com/sharepoint/dsp" xmlns:udc="http://schemas.microsoft.com/data/udc" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:sub="http://schemas.microsoft.com/sharepoint/soap/2002/1/alerts/" xmlns:ec="http://www.w3.org/2001/04/xmlenc#" xmlns:sp="http://schemas.microsoft.com/sharepoint/" xmlns:sps="http://schemas.microsoft.com/sharepoint/soap/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:udcs="http://schemas.microsoft.com/data/udc/soap" xmlns:udcxf="http://schemas.microsoft.com/data/udc/xmlfile" xmlns:udcp2p="http://schemas.microsoft.com/data/udc/parttopart" xmlns:wf="http://schemas.microsoft.com/sharepoint/soap/workflow/" xmlns:dsss="http://schemas.microsoft.com/office/2006/digsig-setup" xmlns:dssi="http://schemas.microsoft.com/office/2006/digsig" xmlns:mdssi="http://schemas.openxmlformats.org/package/2006/digital-signature" xmlns:mver="http://schemas.openxmlformats.org/markup-compatibility/2006" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns:mrels="http://schemas.openxmlformats.org/package/2006/relationships" xmlns:spwp="http://microsoft.com/sharepoint/webpartpages" xmlns:ex12t="http://schemas.microsoft.com/exchange/services/2006/types" xmlns:ex12m="http://schemas.microsoft.com/exchange/services/2006/messages" xmlns:pptsl="http://schemas.microsoft.com/sharepoint/soap/SlideLibrary/" xmlns:spsl="http://microsoft.com/webservices/SharePointPortalServer/PublishedLinksService" xmlns:Z="urn:schemas-microsoft-com:" xmlns:st="" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv=Content-Type content="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 12 (filtered medium)">
<style>
<!--
/* Font Definitions */
@font-face
{font-family:Wingdings;
panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
{mso-style-priority:34;
margin-top:0in;
margin-right:0in;
margin-bottom:0in;
margin-left:.5in;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:"Calibri","sans-serif";
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;}
@page WordSection1
{size:8.5in 11.0in;
margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
{page:WordSection1;}
/* List Definitions */
@list l0
{mso-list-id:478158696;
mso-list-type:hybrid;
mso-list-template-ids:-1256576966 613959720 67698691 67698693 67698689 67698691 67698693 67698689 67698691 67698693;}
@list l0:level1
{mso-level-start-at:4;
mso-level-number-format:bullet;
mso-level-text:-;
mso-level-tab-stop:none;
mso-level-number-position:left;
text-indent:-.25in;
font-family:"Calibri","sans-serif";
mso-fareast-font-family:Calibri;}
ol
{margin-bottom:0in;}
ul
{margin-bottom:0in;}
-->
</style>
<!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang=EN-US link=blue vlink=purple>
<div class=WordSection1>
<p class=MsoNormal>Here is a third customer with a bizarre set of ipsec
problems. Both sites are running Openswan 2.6.25 on either Fedora 12 or
13. The left side is named Audubon, right size named MN. <o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>First problem – the interfaces are bridged on both
sides. Given hindsight, maybe this wasn’t such a good idea. Anyway,
device br0 in MN has both a public and private IP Address. If the public
IP Address is first, then ipsec seems to come up normally. Well,
maybe. The MN site had a power failure last night and they turned
everything on today. My phone rang a while ago. Looking at
/var/log/messages, I saw dozens of messages flying out every second like
this:<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>Jul 19 11:34:44 audubon-fw1 pluto[1885]: "mn-hq"
#198978: initiating Quick Mode RSASIG+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW to
replace #182609 {using isakmp#115214 msgid:77f84cf2 proposal=defaults
pfsgroup=OAKLEY_GROUP_MODP2048}<o:p></o:p></p>
<p class=MsoNormal>Jul 19 11:34:44 audubon-fw1 pluto[1885]: "mn-hq"
#182608: max number of retransmissions (2) reached STATE_QUICK_I1. No
acceptable response to our first Quick Mode message: perhaps peer likes no
proposal<o:p></o:p></p>
<p class=MsoNormal>Jul 19 11:34:44 audubon-fw1 pluto[1885]: "mn-hq"
#182608: starting keying attempt 13 of an unlimited number<o:p></o:p></p>
<p class=MsoNormal>Jul 19 11:34:44 audubon-fw1 pluto[1885]: "mn-hq"
#198979: initiating Quick Mode RSASIG+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW to
replace #182608 {using isakmp#115214 msgid:01145cae proposal=defaults
pfsgroup=OAKLEY_GROUP_MODP2048}<o:p></o:p></p>
<p class=MsoNormal>Jul 19 11:34:44 audubon-fw1 pluto[1885]: "mn-hq"
#182607: max number of retransmissions (2) reached STATE_QUICK_I1. No
acceptable response to our first Quick Mode message: perhaps peer likes no
proposal<o:p></o:p></p>
<p class=MsoNormal>Jul 19 11:34:44 audubon-fw1 pluto[1885]: "mn-hq"
#182607: starting keying attempt 13 of an unlimited number<o:p></o:p></p>
<p class=MsoNormal>Jul 19 11:34:44 audubon-fw1 pluto[1885]: "mn-hq"
#198980: initiating Quick Mode RSASIG+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW to
replace #182607 {using isakmp#115214 msgid:bee017dd proposal=defaults
pfsgroup=OAKLEY_GROUP_MODP2048}<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>Good thing I intervened when I did – take a look at
how big /var/log/secure has grown on both sides:<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]# ls -al /var/log/secure<o:p></o:p></p>
<p class=MsoNormal>-rw-------. 1 root root 110850999 Jul 19 12:17
/var/log/secure<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>and<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>[root@MN-fw1 firewall-scripts]# ls -al /var/log/secure<o:p></o:p></p>
<p class=MsoNormal>-rw-------. 1 root root 5203737 Jul 19 12:17 /var/log/secure<o:p></o:p></p>
<p class=MsoNormal>[root@MN-fw1 firewall-scripts]#<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>Trying to restart ipsec at the audubon site hung. This
time I captured some output and did date commands each time so you can see the
hang. I eventually got it to shut down by killing some processes by hand.<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]# service ipsec restart<o:p></o:p></p>
<p class=MsoNormal>ipsec_setup: Stopping Openswan IPsec...<o:p></o:p></p>
<p class=MsoNormal>^[[A^[[A<o:p></o:p></p>
<p class=MsoNormal>^C<o:p></o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]# service ipsec restart<o:p></o:p></p>
<p class=MsoNormal>ipsec_setup: Stopping Openswan IPsec...<o:p></o:p></p>
<p class=MsoNormal>^C<o:p></o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]# date<o:p></o:p></p>
<p class=MsoNormal>Mon Jul 19 11:36:14 CDT 2010<o:p></o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]# service ipsec restart<o:p></o:p></p>
<p class=MsoNormal>ipsec_setup: Stopping Openswan IPsec...<o:p></o:p></p>
<p class=MsoNormal>^C<o:p></o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]# date<o:p></o:p></p>
<p class=MsoNormal>Mon Jul 19 11:37:01 CDT 2010<o:p></o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]# service ipsec restart<o:p></o:p></p>
<p class=MsoNormal>ipsec_setup: Stopping Openswan IPsec...<o:p></o:p></p>
<p class=MsoNormal>^C<o:p></o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]# date<o:p></o:p></p>
<p class=MsoNormal>Mon Jul 19 11:38:05 CDT 2010<o:p></o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]# service ipsec stop<o:p></o:p></p>
<p class=MsoNormal>ipsec_setup: Stopping Openswan IPsec...<o:p></o:p></p>
<p class=MsoNormal>^C<o:p></o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]# sh -v /etc/rc.d/init.d/ipsec stop<o:p></o:p></p>
<p class=MsoNormal>#!/bin/sh<o:p></o:p></p>
<p class=MsoNormal># IPsec startup and shutdown script<o:p></o:p></p>
<p class=MsoNormal>#<o:p></o:p></p>
<p class=MsoNormal>### BEGIN INIT INFO<o:p></o:p></p>
<p class=MsoNormal>#
Provides: openswan<o:p></o:p></p>
<p class=MsoNormal># Required-Start: $network $syslog $named<o:p></o:p></p>
<p class=MsoNormal># Required-Stop: $syslog<o:p></o:p></p>
<p class=MsoNormal># Default-Start:<o:p></o:p></p>
<p class=MsoNormal># Default-Stop: 0 1 6<o:p></o:p></p>
<p class=MsoNormal># Short-Description: Start Openswan IPsec at boot time<o:p></o:p></p>
<p class=MsoNormal># Description: Enable
automatic key management for IPsec (KLIPS and NETKEY)<o:p></o:p></p>
<p class=MsoNormal>### END INIT INFO<o:p></o:p></p>
<p class=MsoNormal>#<o:p></o:p></p>
<p class=MsoNormal># Copyright (C) 1998, 1999, 2001 Henry Spencer.<o:p></o:p></p>
<p class=MsoNormal># Copyright (C)
2002
Michael Richardson <mcr@freeswan.org><o:p></o:p></p>
<p class=MsoNormal># Copyright (C)
2006
Michael Richardson <mcr@xelerance.com><o:p></o:p></p>
<p class=MsoNormal># Copyright (C)
2008
Michael Richardson <mcr@sandelman.ca><o:p></o:p></p>
<p class=MsoNormal>#<o:p></o:p></p>
<p class=MsoNormal># This program is free software; you can redistribute it
and/or modify it<o:p></o:p></p>
<p class=MsoNormal># under the terms of the GNU General Public License as
published by the<o:p></o:p></p>
<p class=MsoNormal># Free Software Foundation; either version 2 of the License,
or (at your<o:p></o:p></p>
<p class=MsoNormal># option) any later version. See
<http://www.fsf.org/copyleft/gpl.txt>.<o:p></o:p></p>
<p class=MsoNormal>#<o:p></o:p></p>
<p class=MsoNormal># This program is distributed in the hope that it will be
useful, but<o:p></o:p></p>
<p class=MsoNormal># WITHOUT ANY WARRANTY; without even the implied warranty of
MERCHANTABILITY<o:p></o:p></p>
<p class=MsoNormal># or FITNESS FOR A PARTICULAR PURPOSE. See the GNU
General Public License<o:p></o:p></p>
<p class=MsoNormal># for more details.<o:p></o:p></p>
<p class=MsoNormal>#<o:p></o:p></p>
<p class=MsoNormal>#<o:p></o:p></p>
<p class=MsoNormal># ipsec init.d
script for starting and stopping<o:p></o:p></p>
<p class=MsoNormal>#
the IPsec security subsystem (KLIPS and Pluto).<o:p></o:p></p>
<p class=MsoNormal>#<o:p></o:p></p>
<p class=MsoNormal># This script becomes /etc/rc.d/init.d/ipsec (or possibly
/etc/init.d/ipsec)<o:p></o:p></p>
<p class=MsoNormal># and is also accessible as "ipsec setup" (the
preferred route for human<o:p></o:p></p>
<p class=MsoNormal># invocation).<o:p></o:p></p>
<p class=MsoNormal>#<o:p></o:p></p>
<p class=MsoNormal># The startup and shutdown times are a difficult compromise
(in particular,<o:p></o:p></p>
<p class=MsoNormal># it is almost impossible to reconcile them with the
insanely early/late<o:p></o:p></p>
<p class=MsoNormal># times of NFS filesystem startup/shutdown). Startup
is after startup of<o:p></o:p></p>
<p class=MsoNormal># syslog and pcmcia support; shutdown is just before
shutdown of syslog.<o:p></o:p></p>
<p class=MsoNormal>#<o:p></o:p></p>
<p class=MsoNormal># chkconfig: - 47 76<o:p></o:p></p>
<p class=MsoNormal># description: IPsec provides encrypted and authenticated
communications; \<o:p></o:p></p>
<p class=MsoNormal># KLIPS is the kernel half of it, Pluto is the user-level
management daemon.<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>prog='ipsec
setup'
# for messages<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal># where the private directory and the config files are<o:p></o:p></p>
<p class=MsoNormal>IPSEC_EXECDIR="${IPSEC_EXECDIR-/usr/libexec/ipsec}"<o:p></o:p></p>
<p class=MsoNormal>IPSEC_LIBDIR="${IPSEC_LIBDIR-/usr/libexec/ipsec}"<o:p></o:p></p>
<p class=MsoNormal>IPSEC_SBINDIR="${IPSEC_SBINDIR-/usr/sbin}"<o:p></o:p></p>
<p class=MsoNormal>IPSEC_CONFS="${IPSEC_CONFS-/etc}"<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>if [ `id -u` -ne 0 ]<o:p></o:p></p>
<p class=MsoNormal> then<o:p></o:p></p>
<p class=MsoNormal> echo
"permission denied (must be superuser)" |<o:p></o:p></p>
<p class=MsoNormal>
logger -s -p daemon.error -t ipsec_setup 2>&1<o:p></o:p></p>
<p class=MsoNormal> exit 4<o:p></o:p></p>
<p class=MsoNormal>fi<o:p></o:p></p>
<p class=MsoNormal>id -u<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>if test " $IPSEC_DIR" = "
" # if we were not called by the ipsec command<o:p></o:p></p>
<p class=MsoNormal>then<o:p></o:p></p>
<p class=MsoNormal> # we must establish a suitable PATH
ourselves<o:p></o:p></p>
<p class=MsoNormal>
PATH="${IPSEC_SBINDIR}":/sbin:/usr/sbin:/usr/local/bin:/bin:/usr/bin<o:p></o:p></p>
<p class=MsoNormal> export PATH<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal> IPSEC_DIR="$IPSEC_LIBDIR"<o:p></o:p></p>
<p class=MsoNormal> export IPSEC_DIR IPSEC_CONFS IPSEC_LIBDIR
IPSEC_EXECDIR<o:p></o:p></p>
<p class=MsoNormal>fi<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal># misc setup<o:p></o:p></p>
<p class=MsoNormal>umask 022<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>mkdir -p /var/run/pluto<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>RETVAL=0<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>start() {<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal> test -x $IPSEC_SBINDIR/ipsec || exit 5<o:p></o:p></p>
<p class=MsoNormal> test -f /etc/ipsec.conf || exit 6<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal> # Pick up IPsec configuration (until we
have done this, successfully, we<o:p></o:p></p>
<p class=MsoNormal> # do not know where errors should go,
hence the explicit "daemon.error"s.)<o:p></o:p></p>
<p class=MsoNormal> # Note the "--export", which
exports the variables created.<o:p></o:p></p>
<p class=MsoNormal> variables=`ipsec addconn /etc/ipsec.conf
--varprefix IPSEC --configsetup`<o:p></o:p></p>
<p class=MsoNormal> eval $variables<o:p></o:p></p>
<p class=MsoNormal> if [ $? != 0 ]<o:p></o:p></p>
<p class=MsoNormal> then<o:p></o:p></p>
<p class=MsoNormal> echo
"Failed to parse config setup portion of ipsec.conf"<o:p></o:p></p>
<p class=MsoNormal> exit $?<o:p></o:p></p>
<p class=MsoNormal> fi<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>
IPSEC_confreadsection=${IPSEC_confreadsection:-setup}<o:p></o:p></p>
<p class=MsoNormal> export IPSEC_confreadsection<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal> IPSECsyslog=${IPSECsyslog-daemon.error}<o:p></o:p></p>
<p class=MsoNormal> export IPSECsyslog<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal> # remove for: @cygwin_END@<o:p></o:p></p>
<p class=MsoNormal> (<o:p></o:p></p>
<p class=MsoNormal> ipsec _realsetup start<o:p></o:p></p>
<p class=MsoNormal> RETVAL=$?<o:p></o:p></p>
<p class=MsoNormal> ) 2>&1 | logger -s -p $IPSECsyslog
-t ipsec_setup 2>&1<o:p></o:p></p>
<p class=MsoNormal> return $RETVAL<o:p></o:p></p>
<p class=MsoNormal>}<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>stop() {<o:p></o:p></p>
<p class=MsoNormal> IPSECsyslog=${IPSECsyslog-daemon.error}<o:p></o:p></p>
<p class=MsoNormal> export IPSECsyslog<o:p></o:p></p>
<p class=MsoNormal> (<o:p></o:p></p>
<p class=MsoNormal> ipsec _realsetup stop<o:p></o:p></p>
<p class=MsoNormal> RETVAL=$?<o:p></o:p></p>
<p class=MsoNormal> ) 2>&1 | logger -s -p $IPSECsyslog
-t ipsec_setup 2>&1<o:p></o:p></p>
<p class=MsoNormal> return $RETVAL<o:p></o:p></p>
<p class=MsoNormal>}<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>restart() {<o:p></o:p></p>
<p class=MsoNormal> stop<o:p></o:p></p>
<p class=MsoNormal> start<o:p></o:p></p>
<p class=MsoNormal>}<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>condrestart() {<o:p></o:p></p>
<p class=MsoNormal> test -x $IPSEC_SBINDIR/ipsec || exit 5<o:p></o:p></p>
<p class=MsoNormal> ipsec _realsetup status || exit 0<o:p></o:p></p>
<p class=MsoNormal> restart<o:p></o:p></p>
<p class=MsoNormal>}<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>status() {<o:p></o:p></p>
<p class=MsoNormal> test -x $IPSEC_SBINDIR/ipsec || exit 5<o:p></o:p></p>
<p class=MsoNormal> ipsec _realsetup status<o:p></o:p></p>
<p class=MsoNormal> RETVAL=$?<o:p></o:p></p>
<p class=MsoNormal> return $RETVAL<o:p></o:p></p>
<p class=MsoNormal>}<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>version() {<o:p></o:p></p>
<p class=MsoNormal> ipsec version<o:p></o:p></p>
<p class=MsoNormal> RETVAL=$?<o:p></o:p></p>
<p class=MsoNormal> return $RETVAL<o:p></o:p></p>
<p class=MsoNormal>}<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal># do it<o:p></o:p></p>
<p class=MsoNormal>case "$1" in<o:p></o:p></p>
<p class=MsoNormal> start|--start)<o:p></o:p></p>
<p class=MsoNormal> start<o:p></o:p></p>
<p class=MsoNormal> ;;<o:p></o:p></p>
<p class=MsoNormal> stop|--stop)<o:p></o:p></p>
<p class=MsoNormal> stop<o:p></o:p></p>
<p class=MsoNormal> ;;<o:p></o:p></p>
<p class=MsoNormal> restart|--restart)<o:p></o:p></p>
<p class=MsoNormal> restart<o:p></o:p></p>
<p class=MsoNormal> ;;<o:p></o:p></p>
<p class=MsoNormal> reload|force-reload)<o:p></o:p></p>
<p class=MsoNormal> restart<o:p></o:p></p>
<p class=MsoNormal> ;;<o:p></o:p></p>
<p class=MsoNormal> condrestart|try-restart)<o:p></o:p></p>
<p class=MsoNormal> condrestart<o:p></o:p></p>
<p class=MsoNormal> ;;<o:p></o:p></p>
<p class=MsoNormal> status|--status)<o:p></o:p></p>
<p class=MsoNormal> status<o:p></o:p></p>
<p class=MsoNormal> ;;<o:p></o:p></p>
<p class=MsoNormal> version)<o:p></o:p></p>
<p class=MsoNormal> version<o:p></o:p></p>
<p class=MsoNormal> ;;<o:p></o:p></p>
<p class=MsoNormal> *)<o:p></o:p></p>
<p class=MsoNormal> echo
$"Usage: $prog
{start|stop|restart|reload|force-reload|condrestart|try-restart|status|version}"<o:p></o:p></p>
<p class=MsoNormal> RETVAL=2<o:p></o:p></p>
<p class=MsoNormal>esac<o:p></o:p></p>
<p class=MsoNormal>ipsec_setup: Stopping Openswan IPsec...<o:p></o:p></p>
<p class=MsoNormal>^C<o:p></o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]# date<o:p></o:p></p>
<p class=MsoNormal>Mon Jul 19 11:39:28 CDT 2010<o:p></o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]# service ipsec stop<o:p></o:p></p>
<p class=MsoNormal>ipsec_setup: Stopping Openswan IPsec...<o:p></o:p></p>
<p class=MsoNormal>^C<o:p></o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]# ps ax | grep ipsec<o:p></o:p></p>
<p class=MsoNormal> 1878 ?
S 0:00 /bin/sh /usr/libexec/ipsec/_plutorun
--debug --uniqueids yes --force_busy no --nocrsend no --strictcrlpolicy
no --nat_traversal yes --keep_alive --protostack netkey --force_keepalive
no --disable_port_floating no --virtual_private oe=off --crlcheckinterval 0
--ocspuri --nhelpers 0 --dump --opts --stderrlog --wait
no --pre --post --log daemon.error --plutorestartoncrash true --pid
/var/run/pluto/pluto.pid<o:p></o:p></p>
<p class=MsoNormal> 1879 ?
S 0:00 logger -s -p daemon.error -t
ipsec__plutorun<o:p></o:p></p>
<p class=MsoNormal> 1882 ?
S 0:00 /bin/sh /usr/libexec/ipsec/_plutorun
--debug --uniqueids yes --force_busy no --nocrsend no --strictcrlpolicy
no --nat_traversal yes --keep_alive --protostack netkey --force_keepalive
no --disable_port_floating no --virtual_private oe=off --crlcheckinterval 0
--ocspuri --nhelpers 0 --dump --opts --stderrlog --wait
no --pre --post --log daemon.error --plutorestartoncrash true --pid
/var/run/pluto/pluto.pid<o:p></o:p></p>
<p class=MsoNormal> 1883 ?
S 0:00 /bin/sh /usr/libexec/ipsec/_plutoload
--wait no --post<o:p></o:p></p>
<p class=MsoNormal> 1885 ?
R 91:59 /usr/libexec/ipsec/pluto --nofork --secretsfile
/etc/ipsec.secrets --ipsecdir /etc/ipsec.d --use-netkey --uniqueids
--nat_traversal --virtual_private oe=off --nhelpers 0<o:p></o:p></p>
<p class=MsoNormal> 4949 pts/0
S+ 0:00 grep ipsec<o:p></o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]# date<o:p></o:p></p>
<p class=MsoNormal>Mon Jul 19 11:40:21 CDT 2010<o:p></o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]#<o:p></o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]# kill -9 1878<o:p></o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]# kill -9 1879<o:p></o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]# kill -9 1882<o:p></o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]# kill -9 1883<o:p></o:p></p>
<p class=MsoNormal>-bash: kill: (1883) - No such process<o:p></o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]# kill -9 1885<o:p></o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]# service ipsec stop<o:p></o:p></p>
<p class=MsoNormal>ipsec_setup: Stopping Openswan IPsec...<o:p></o:p></p>
<p class=MsoNormal>ipsec_setup: Removing orphaned /var/run/pluto/pluto.pid:<o:p></o:p></p>
<p class=MsoNormal>[root@audubon-fw1 ~]#<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>But I’m not out of the woods yet. After
restarting ipsec on both sides, Audubon can see some hosts on the MN side, but
not all. The Audubon LAN is 10.0.0/24 and the MN LAN is
192.168.0/24. Host 10.0.0.50 at the Audubon site could ping MN host
192.168.0.52, but not MN server at 192.168.0.1. After restarting
ipsec at the Audubon site again, now Audubon can ping everything in the MN
site. <o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>But we’re still not out of the woods. Interface
br0 has 2 IP Addresses – a public and private. Problem is, ipsec seems
to only work when the public IP Address is first in the list. But this
breaks dhcpd, which wants the private IP Address first in the list. <o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>extremely frustrating- this has all worked reasonably well
for years and now every tunnel I build with the new version is unstable.
What broke?<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoNormal>Thanks<o:p></o:p></p>
<p class=MsoNormal><o:p> </o:p></p>
<p class=MsoListParagraph style='text-indent:-.25in;mso-list:l0 level1 lfo1'><![if !supportLists]><span
style='mso-list:Ignore'>-<span style='font:7.0pt "Times New Roman"'>
</span></span><![endif]>Greg Scott<o:p></o:p></p>
</div>
</body>
</html>