Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 3428 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

routing across ASL - ASL VPN

KevinKretz
Hi, 

I'm having problems routing across my VPN.  Here's my setup:

net 1=172.19.1.0/24
net 2=192.168.0.0/24
net 3=192.168.168.0/24

asl 1=172.19.1.99
asl 2=192.168.0.251

router1 = 192.168.0.1, 192.168.168.1

My ASL-ASL VPN routes between hosts on net1 and net2, no problem.

When I tried to add a route on asl1 to route traffic to net3 through router1, it didn't work.

I started troubleshooting and noticed that, while I could ping between hosts on net1 and net2, and I can ping from a host on either net1 or net2 to the  inside or outside addresses of asl1 or asl2, I can't ping from either asl to a host on the opposite network, from the console or from the Tools-Ping gui.

I assume that routing to that third network isn't working because the ASL machine itself can't seem to get to the next hop (router1).

What's going on?  Am I missing something?


Thanks!


Kevin


This thread was automatically locked due to age.
  • 0
    I guess your problem goes like this :

    You are probably routing everything properly to the router1 but then the problem occurs. You must setup a route on the router1 itself to make sure the device knows how to send back the packet to your NET1 on the other side. 

    Everything will be working after that as long as your hosts in Net3 have 192.168.168.1 as their default gateway.

    A good practice would be to sniff packet on Net2.

    Patrice.

    [ 11 January 2002: Message edited by: TnM ]

  • 0 in reply to TnM
    Thanks for the suggestions ... but setting that route on the machine between nets 2 and 3 is the first thing I did.

    (from that machine's routing table):

    172.19.1.0      192.168.0.251   255.255.255.0 

    Machines on the 192.168.168 network _do_ have 192.168.168.1 as the default gw.

    The problem seems to occur going from net1 out.  When I ping something on net3, I get a Destination Unreachable from somewhere on my ISP's network - so the packets are being sent to the Internet gateway from net1, and not to 192.168.0.1 to be routed to 192.168.168.0.

    That much I noticed first.  It was after that that I noticed that each ASL can't ping the other ASL's inside network, although hosts on either ASL inside network (net1, net2) can ping any other, and also either ASL.

    Since you can't add a route through a gw you can't reach, I think this is the source of my problem.  I can't figure out how to proceed to fix it, though.


    Thanks again 


    K
  • 0 in reply to KevinKretz
    What flavor of VPN are you using PPTP or IPSEC?
  • 0 in reply to KevinKretz
    My guess :

    You will need to created a SA specific for your third network.

    IPSEC has a different behaviour than PPTP. You cannot route traffic, it's acting more like Source NATting (from my understanding).

    In order to encapsulate the packet from your net3 to your net1 you will have to tell the ipsec gateway what to do with it... Right now the SA knows what to do with traffic coming net2 but when it come to net3 it tries to route it somewhere unreachable.

    Try to add a new SA on both ASL ipsec gateway for you third Network.

    Patrice.
  • 0 in reply to TnM
    Hallo

    have the same problem.
    What is a SA??

      [:S]
  • 0 in reply to tsol
    SA = Security Association. SA defined the security parameters for a specific IP host. (Security parameters tell the ipsec gateway IF packets gets encrypted, where to send them... etc..)

    My recommandation was in ASL to add a new connection specifically for the third network behind the second ASL host.

    This is again only a guess... 

    Patrice.   
  • 0 in reply to TnM
    This is exact the solution!!

    Define a new VPN-connection:
    left net: 192.168.168.0/24
    left ip: external interface of ASL with 192.168.0.251
    right net: 172.19.1.0/24
    right ip: external interface of ASL with 192.168.0.251

    Do this on both asl-boxes (with correct left/right-assignment) and it should run.
    Done this here (but I need also support to find the solution).

    Greeting
    Martin
Unfiltered HTML