Thread Info
  • State Not Answered
  • Replies 9 replies
  • Subscribers 0 subscribers
  • Views 1713 views
  • Users 0 members are here
Options
Suggested

[7.900][BUG][UNABLETODUPLICATE] site2site vpn VMware Vsphere Problem

Johannes Hiby
Hi,

with site2site vpn between  7.504 and 7.902 i canot connect to an ESX Server with
VMware vSphere Client. Error: "Remoteserver reagiert nicht"
SSH, Telnet, VNC and RDP works though the tunnel fine.

site2site VPN: IPSEC, x509 Certificate, autopacket filter on on both sites.
serveral policies tested: AES-128, AES-256 TrippleDES with and without  PFS

--Johannes
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 7.900
    Type: BUG
    State: UNABLETODUPLICATE
    Reporter: Johannes Hiby
    Contributor: 
    MantisID: 
    Target version: 
    Fixed in version: 
    --------------------------------

  • 0
    Do i understand this correct, you have trouble to connect to the ESX server?

    Do you connect to the server by name or by ip address?
  • 0 in reply to kbr
    Hi,

    i try to connect to the ESX Server with the VMware vSphere Client over the IP
    adress through the vpn tunnel.
    With 7.504 - 7.504 it works fine.


    i just see there seems to be a problem with port 443 through the tunnel.
    I also cannot connect to https://.


    no http/https proxy active !

    --Johannes
  • 0
    I'm not an VMware expert, but:

    As far as i know, you should (depending on your configuration of the ESX server)  be able to reach the ESX server through the tunnel by:

    • pinging it's IP
    • connect with a webbrowser on port 80 (get's redirected to https autoamatically)
    • connect with a webbrowser on port 443
    • connect with the vSphere Client


    have you already tried the first three steps? What was the result?

    You said that (other from vSphere and Port 443) the tunnel is working. Are there other host on the ESX servers side that you can try to connect to which also provide https?

    How did you setup up that 7.5xx  7.9xx tunnel? Did you replace the 7.5xx machine that was doing the tunnel or did you place another machine besides it? Can you tell us a little bit more about that setup?
  • 0 in reply to kbr
    Hi,

    yes i have tried this before.

    i have replaced one 7.504 machine with the 7.902: same configuration


    additional tests:

    Direction A: Client - 7.504 - 7.902 - Server Ping, ssh, http, vnc, rdp, telnet works fine to different servers.
    https to ESX Server and other servers does not work.

    Direction B: Client - 7.902 - 7.504 - Server all services including https works fine.

    i have tested automatic packetfilter rules and manual packetfilter rules with no restrictions,
    all traffic allowed.
    No proxy enabled.
    Tunnel: site2site vpn ipsec with x509 certificate all policies tested.

    For Direction A: 
    i have tested with tcpdump on 7.504 and 7.902:
    I try to connect to the server with 443: 
    all the packets go from the client through the firewall  7.504 and 7.902 to the server and will be aswered from the server.
    I can see all the aswered packets on 7.902 side but not all on the 7.504 side.
    I think there will be packets dropped from the 7.902.



    --Johannes
  • 0
    That sounds really strange.

    Can you please send the output of iptables-save?
  • 0 in reply to kbr
    Hi,

    the iptables-save file as attachement

    10.2.120.0 behind 7.504
    192.168.23.0 behind 7.902

    --Johannes
  • 0
    Okay, so as there is nothing obviously wrong with your config, i need to build up a test-setup around here and see for myself, which might take a little. Please stay tuned (but don't hold your breath ;-))
  • 0 in reply to kbr
    [SIZE=3][FONT=Consolas]Dear All,[/FONT][/SIZE]
    [SIZE=3][FONT=Consolas][/FONT][/SIZE] 
    [SIZE=3][FONT=Consolas]I tested the following setup: ASG 7.504 and ASG 7.903.[/FONT][/SIZE]
    [SIZE=3][FONT=Consolas]I build a tunnel with Certificate authentication:[/FONT][/SIZE]
    [SIZE=3][FONT=Consolas]I created a local cert at the 7.903 and imported the PKCS#12 to the 7.504.[/FONT][/SIZE]
    [SIZE=3][FONT=Consolas]At the 7.504 I switched the IPsec cert to the new one.[/FONT][/SIZE]
    [SIZE=3][FONT=Consolas][/FONT][/SIZE] 
    [SIZE=3][FONT=Consolas]Then I configured remote gateway and IPsec connection on both sides with the correct VPN ID and the certs.[/FONT][/SIZE]
    [SIZE=3][FONT=Consolas][/FONT][/SIZE] 
    [SIZE=3][FONT=Consolas]Connection came up without problems.[/FONT][/SIZE]
    [SIZE=3][FONT=Consolas][/FONT][/SIZE] 
    [SIZE=3][FONT=Consolas]I'm able to ping from local network of 7.504 to the server at the remote network of the 7.903.[/FONT][/SIZE]
    [SIZE=3][FONT=Consolas][/FONT][/SIZE] 
    [SIZE=3][FONT=Consolas]Then I tried a https-connection to this webserver (apache2) without problems.[/FONT][/SIZE]
    [SIZE=3][FONT=Consolas][/FONT][/SIZE] 
    [SIZE=3][FONT=Consolas]I got a tcpdump from the ipsec0 interface of my 7.504 and I realized that all traffic (including https) is going into the tunnel.[/FONT][/SIZE]
    [SIZE=3][FONT=Consolas][/FONT][/SIZE] 
    [SIZE=3][FONT=Consolas]I'm not able to reproduce you error. This constellation works fine.[/FONT][/SIZE]
    [SIZE=3][FONT=Consolas][/FONT][/SIZE] 
    [SIZE=3][FONT=Consolas]First question, did you update your ASG to 7.903 and do you recognize the same issue?[/FONT][/SIZE]
    [SIZE=3][FONT=Consolas][/FONT][/SIZE] 
    [SIZE=3][FONT=Consolas]Second question, did you use the local certificate from one ASG (+import of PKCS#12 on the other) , or did you use your own local cert on every side and only import the Verification CA File on both sides?[/FONT][/SIZE]
Cookie Information Banner