Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 7663 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Advanced Routing over an IPSec Connection

Tmor
What would be the best way to reach (network C) from (network A)?  What routes to i need to realize to get it to work?

Sorry for the cheap artwork  

(network A)  ASL  IPSec Connection  ASL  (network B)  Router  (network C) 

The ASL in (network A) knows nothing about where (network C) is.
The ASL in (network B) knows that he can reach (network C)  over the router in (network B).
The Router in (network B) knows that he can reach (network A) over the ASL in (network B).  

my thought is to add a static route on the ASL in (network A) for (network C) to the Router in (network B).

A major point is that NO NAT can take place between (network A)  and (network C) 

Current VPN Route:

217.5.98.15 dev ppp0  scope link 
217.5.98.15 dev ipsec0  proto kernel  scope link  src (dynamic IP) 
(network A) dev eth0  scope link 
(network B) via 217.5.98.15 dev ipsec0
 
Somehow I think something is missing like:
(network C) via Router (network B) via 217.5.98.15 dev ipsec0

err?? I am making it more complicated than it is eh??

Thx.

  


This thread was automatically locked due to age.
  • 0 in reply to Udo_Seiler
    It is not possible to build an IPSec connection to the router.

    the configuration is quite simple.  I have a segment behind my local network that i want to reach.

    ASL (10.1.1.1)  VPN  ASL (10.2.1.1)  (10.2.1.2) Router (53.1.0.0)

    The router knows that to reach 10.1.1.1 he has to go through 10.2.1.1
    The ASL (10.2.1.1) knows that to reach 53.1.0.0 he has to go through Router (10.2.1.2) - Ping works
    The ASL (10.1.1.1) knows nothing about how to reach 53.0.0.0

    so this is where all this started.

    there is now a VPN connection from ASL (10.1.1.1) to ASL (10.2.1.1) to reach the network (53.0.0.0), this is basically what everyone said above.
      
  • 0 in reply to Tmor
    Hi Tmor,

    ok,  no VPN-Tunnel to the Router.

    At the moment you have two VPN-Tunnels configured?!

    One for tunneling traffic between 10.1.1.1 and 10.2.1.1
    And the Other tunnel for the traffic between 10.1.1.1 and the 53.1.0.0

    The endpoint for both tunnels is the Firewall at 10.2.1.1?

    You have to place an additional static route at Firewall 10.2.1.1 for the network 53.0.0.0 via your router.
    Why?

    With the second VPN-Tunnel your traffic from Network A to Network C could reach the Firewall (Network B) Now you have route this traffic to the Router for Network C

    HTH

    Udo Seiler   
  • 0 in reply to Udo_Seiler
    Hi all,

    After extensive testing the solution has been found and implimented. However the exact cause still eludes me.

    The Network (with added upstream router on the right):

    (network A)  ASL  IPSec Connection to ASL  Router  ASL  (network B)  Router  (network C)

    Basically all were correct on the point of 2 tunnels between the ASLs to the 2 networks.  However NAT-T was activated on the ASL itself.  After deactivating the NAT-T everything appeared to work fine and the data did indeed travel though both tunnels.

    Because our upstream Router is inaccessable its not possible to check what he was doing. 

    I will admit that the concept/configuration is a bit strange. The Internet Router NATs a Class-B IP on the Router LAN Interface to another Class-B IP (same IP range) on/to the ASL External LAN Interface. An old concept from way back that should be deleted.

    thx. oliver
       
  • 0
    You can't route through the VPN tunnel.
    Do as someone suggested. Create meshed tunnels. ea.
    tunnel between AB
    tunnel between AC
    tunnel between BC
    Unles you involb=ve dynamic routing through GRE tunnels.
    (GRE through IPSEC tunnel)