Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 6683 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec Issues

CWanamaker
A server located at 10.12.101.194 is trying to connect via IPSec 50/51 to 10.12.103.151. We can ping and trace from .194 to .151 without a problem. We can also connect via FTP, SSL and other ports/protocols without an issue. However, whenever we try to connect via IPSec 50/51, it doesn't work

We've added a NO NAT rule for all traffic from .194 to .151 on the UTM 10.12.101.252. We have also added an ANY > ANY > ANY Firewall rule. Still no luck.

When we try the IPSec connection, we aren't seeing anything getting blocked in the firewall. Any suggestions on what to look for or change?

** A network diagram has been attached **


This thread was automatically locked due to age.
Parents
  • 0
    You have a non-trivial network topology, so I suspect there is a routing problem in the network.  Also, IPsec will reject an IPsec packet if the source of the packet is different from the encrypted sending IP in the packet - it takes some customizing to connect two devices that are behind NATting routers.

    The diagram in post #1 implies that the VPN enpoints are UTM 120 appliances, not servers - could you clarify?

    If we can't look at the IPsec log from one of the VPN endpoints, and we can't see the VPN configuration from that endpoint, the only thing left is a packet capture on the UTM interfaces to see if the traffic ever gets there and if it leaves - which I suspect it doesn't.  Do you have a tool for that?  If not, you can use tcpdump from the command line, WinSCP in Windows to copy the file off and WireShark in Windows to analyze the file.

    Cheers - Bob
Reply
  • 0
    You have a non-trivial network topology, so I suspect there is a routing problem in the network.  Also, IPsec will reject an IPsec packet if the source of the packet is different from the encrypted sending IP in the packet - it takes some customizing to connect two devices that are behind NATting routers.

    The diagram in post #1 implies that the VPN enpoints are UTM 120 appliances, not servers - could you clarify?

    If we can't look at the IPsec log from one of the VPN endpoints, and we can't see the VPN configuration from that endpoint, the only thing left is a packet capture on the UTM interfaces to see if the traffic ever gets there and if it leaves - which I suspect it doesn't.  Do you have a tool for that?  If not, you can use tcpdump from the command line, WinSCP in Windows to copy the file off and WireShark in Windows to analyze the file.

    Cheers - Bob
Children