<div dir="ltr">Got some more debugging on this issue. <div><br></div><div>When the tunnel drops (after a network outage), I can only get the tunnel passing traffic again by restarting the ipsec daemon. But the daemon doesn't restart the tunnel on its own despite DPD being configured. Restarting the tunnel from the Fortigate side, the Fortigate shows the tunnel up but the no traffic will route on the OpenSWAN side.</div><div><br></div><div><span style="font-family:arial,sans-serif;font-size:12.8000001907349px">ipsec.conf: </span><a href="https://gist.github.com/williamsjj/4dc00138e62697aec602" target="_blank" style="font-family:arial,sans-serif;font-size:12.8000001907349px">https://gist.github.com/williamsjj/4dc00138e62697aec602</a><br style="font-family:arial,sans-serif;font-size:12.8000001907349px"><span style="font-family:arial,sans-serif;font-size:12.8000001907349px">tunnel config: </span><a href="https://gist.github.com/williamsjj/910adcc5a071fc130b30" target="_blank" style="font-family:arial,sans-serif;font-size:12.8000001907349px">https://gist.github.com/williamsjj/910adcc5a071fc130b30</a><br></div><div><br></div><div>Fortigate Phase 1 Conf: <a href="http://www.screencast.com/t/9V3XmL9Gdxw">http://www.screencast.com/t/9V3XmL9Gdxw</a></div><div>Fortigate Phase 2 Conf: <a href="http://www.screencast.com/t/EZq5VSbcMWS">http://www.screencast.com/t/EZq5VSbcMWS</a></div><div><br></div><div>Incident #1 error logs: <a href="https://gist.github.com/williamsjj/0b1b58fe8bb216ccf275">https://gist.github.com/williamsjj/0b1b58fe8bb216ccf275</a></div><div>Incident #2 error logs: <a href="https://gist.github.com/williamsjj/d84bad0d8cc6b43ecef7">https://gist.github.com/williamsjj/d84bad0d8cc6b43ecef7</a></div><div><br></div><div>Any help/advice is greatly appreciated.</div><div><br></div><div>-J</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Oct 23, 2014 at 1:11 PM, Peter McGill <span dir="ltr"><<a href="mailto:petermcgill@goco.net" target="_blank">petermcgill@goco.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">So it is...<br>
<br>
No I would expect --down to fully stop the tunnel, at least on openswan end.<br>
<br>
But firewall/iptables is another thing which can prevent traffic flow... so<br>
I mentioned it.<br>
<br>
Something else to watch on interrop is that your using all the same<br>
settings.<br>
Can you get a screenshot, etc... of the fortigate configuration.<br>
<br>
What are the syslog entries at the time the connection stops working?<br>
<br>
Can you show us ipsec auto --status output, during the issue?<br>
<span class="HOEnZb"><font color="#888888"><br>
Peter McGill<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
-----Original Message-----<br>
From: Jason J. W. Williams [mailto:<a href="mailto:jasonjwwilliams@gmail.com">jasonjwwilliams@gmail.com</a>]<br>
Sent: October-23-14 12:50 PM<br>
To: Peter McGill<br>
Cc: <<a href="mailto:users@lists.openswan.org">users@lists.openswan.org</a>><br>
Subject: Re: Weird tunnel issue<br>
<br>
The second file is what's included. Have not tried using iptables. Is "ipsec<br>
auto --down" not sufficient?<br>
<br>
-J<br>
<br>
Sent via iPhone<br>
<br>
> On Oct 23, 2014, at 9:28, "Peter McGill" <<a href="mailto:petermcgill@goco.net">petermcgill@goco.net</a>> wrote:<br>
><br>
> Well your ipsec.conf includes files in /etc/ipsec.conf.d which you haven't<br>
> shown us, so we can't actually examine your configuration.<br>
><br>
> However, have you tried restarting and disabling the firewall (iptables<br>
> rules) to see if that fixes the problem.<br>
><br>
> Peter McGill<br>
> <a href="tel:519-284-3420%20x204" value="+15192843420">519-284-3420 x204</a><br>
><br>
> -----Original Message-----<br>
> Date: Wed, 22 Oct 2014 14:00:11 -0700<br>
> From: "Jason J. W. Williams" <<a href="mailto:jasonjwwilliams@gmail.com">jasonjwwilliams@gmail.com</a>><br>
> To: <a href="mailto:users@lists.openswan.org">users@lists.openswan.org</a><br>
> Subject: [Openswan Users] Weird tunnel issue<br>
> Message-ID:<br>
>    <CAHZAEpceRYd-EBco6_yPw=<a href="mailto:G9p88aCvY3ZeAb3Q%2BsaqbaGo6VCg@mail.gmail.com">G9p88aCvY3ZeAb3Q+saqbaGo6VCg@mail.gmail.com</a>><br>
> Content-Type: text/plain; charset=UTF-8<br>
><br>
> Hi,<br>
><br>
> We've had a weird issue where the tunnel had been up for several days<br>
> and then suddenly refused to route packets over the tunnel (couldn't<br>
> ping). The tunnel according to "ipsec auto --status" was up. The other<br>
> side is a Fortigate 200B and it also agreed the tunnel was up. But it<br>
> refused to send traffic over the tunnel. Tried toggling the tunnel<br>
> down and then up from both ends, and while the tunnel re-established<br>
> still couldn't route. Only thing that corrected it was rebooting the<br>
> box running the OpenSWAN client.<br>
><br>
> Client is an Ubuntu 14.04.1 x64 box:<br>
> # ipsec --version<br>
> Linux Openswan U2.6.38/K3.13.0-37-generic (netkey)<br>
><br>
> ipsec.conf: <a href="https://gist.github.com/williamsjj/4dc00138e62697aec602" target="_blank">https://gist.github.com/williamsjj/4dc00138e62697aec602</a><br>
> tunnel config: <a href="https://gist.github.com/williamsjj/910adcc5a071fc130b30" target="_blank">https://gist.github.com/williamsjj/910adcc5a071fc130b30</a><br>
><br>
> Any help is greatly appreciated.<br>
><br>
> -J<br>
><br>
<br>
</div></div></blockquote></div><br></div>