Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 1889 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC Net 2 Net

noVakane
I have subnet A and B linked via 2 astaro boxes. The IPSEC link works great, except for one problem. I can initiate TCP connections from 
A -> B, but not from B -> A.
Also, I can ping from A -> B, but not from B -> A.  I've gone through the config over and over, but don't see any difference why this would be. Isn't it strange that one side can send AND receive....


This thread was automatically locked due to age.
Parents
  • 0
    did u check your packet filter rules...they have to be open both ways

    from a-->b any any allow

    AND from b-->a any any allow

    otherwise it will work in only one direction!!

    2) Want IPSec tunnel:

    left network = a.b.c.0/24
    right network = w.x.y.0/24

    3) ASL configs

    Packet Filter on both boxes:
    a.b.c.0/24 any w.x.y.0/24 allow
    w.x.y.0/24 any a.b.c.0/24 allow
     
     [size="1"][ 05 July 2002, 17:12: Message edited by: asher ][/size]
  • 0 in reply to asher
    Yes, I have rules the rules correct. A - B allow and B - A allow.
    ---A rules---
    1. A    any 2 any  allow
    2. A    any 2 B    allow
    3. B    any 2 A    allow
    4. B    any 2 PPTP allow

    ---B rules---
    1. B    any 2 any  allow
    2. A    any 2 B    allow
    3. B    any 2 A    allow

    See anything wrong there? That's not a complete ruleset, but those are the ones related to the connection in question.
  • 0 in reply to noVakane
    Maybe you don't have the proper routing in one network.  It might be the case that the default routing on one LAN routes a return packet out another gateway instead of back along the path that the origianl packet came from.  The way to verify this is to examine the output of 'netstat -nr' from the various endpoint systems involved.
  • 0 in reply to Joe DeAngelo
    1st start with DNS.  If you do a lookup, what address gets presented?

    then move to routing, where is this address routed?

    next to rules will this packet go through?

    finally IPsec policy will the tunnel be started (if not already up)?
Reply
  • 0 in reply to Joe DeAngelo
    1st start with DNS.  If you do a lookup, what address gets presented?

    then move to routing, where is this address routed?

    next to rules will this packet go through?

    finally IPsec policy will the tunnel be started (if not already up)?
Children
  • 0 in reply to Bob M
    I'm trying to communicate via IP so DNS is not an issue.
    This is the routing rule to pass from B->A

    --/ 10.10.11.0  1.2.3.4    255.255.255.0   UG    0  0   0 ipsec1 /--

    The VPN is up and working. Like I said I can ping from A -> B, but not from B -> A.
  • 0 in reply to noVakane
    Originally posted by noVakane:
    I'm trying to communicate via IP so DNS is not an issue.

    Oh, then you are saying that you are putting the IP address directly in, and not a FQDN?  This was not appearant from the first post.

    But if you are using names, then took to DNS.  DAH.

    [QB}This is the routing rule to pass from B->A

    --/ 10.10.11.0  1.2.3.4    255.255.255.0   UG    0  0   0 ipsec1 /--

    The VPN is up and working. Like I said I can ping from A -> B, but not from B -> A.[/QB]

    Well, if the ECHO Reply is going back to A, then the routing is right.  This leaves rules or DNS.  I got burned on rules when just testing with PING, as ICMP can simply be turned on. Period.

    And if you are using PING with an IP address to test, did you disable DNS lookup of reverse lookup?

  • 0 in reply to Bob M
    I already posted the rules I have above. If I have a subnet with allow any service to anywhere, do I still need to specify A any -> B Allow?
    I have ICMP turned on both sides.
    nothing works RPC etc...

     
    Originally posted by Bob M:
     
    quote:
    Originally posted by noVakane:
    I'm trying to communicate via IP so DNS is not an issue.

    Oh, then you are saying that you are putting the IP address directly in, and not a FQDN?  This was not appearant from the first post.

    But if you are using names, then took to DNS.  DAH.

    [QB}This is the routing rule to pass from B->A

    --/ 10.10.11.0  1.2.3.4    255.255.255.0   UG    0  0   0 ipsec1 /--

    The VPN is up and working. Like I said I can ping from A -> B, but not from B -> A.


    Well, if the ECHO Reply is going back to A, then the routing is right.  This leaves rules or DNS.  I got burned on rules when just testing with PING, as ICMP can simply be turned on. Period.

    And if you are using PING with an IP address to test, did you disable DNS lookup of reverse lookup?

    [/QB]
  • 0 in reply to noVakane
    Originally posted by noVakane:
    I already posted the rules I have above. If I have a subnet with allow any service to anywhere, do I still need to specify A any -> B Allow?
    I have ICMP turned on both sides.
    nothing works RPC etc...

    I am trying to visualize this.

    1st you are saying from A, you can PING an address on B.  That is ECHO and REPLY, so routing is working.

    But B to A PING does not work?

    ICMP, if enabled doesn't go through the rules, from what I have seen.

    I would LOVE to see the routing tables from both.  Also NAT configs.  I am wondering the order of applicablity, but I wonder if the NAT is deciding to send a start of a PING out to the Internet, not into the tunnel.