Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 695 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Troubles with Net-to-Net connection with two ASL4

romx
All maked from docs samples, keys succesfully generated and installed (i hope). Key exchange succesfully established (see below fragments from logfile)
But packets not sends nor recieves. 
And ping to address from second local net goes on internet, at my provider's network presents some 192.168.x.x hosts [:(]der's net 
Ping reply recives from this host, but not from remote net via VPN (not send to ipsec0 interface).

Here IPSEC log (from VPN Connecton page)
---
000  
000 "root2sborka_1": 192.168.0.0/24===212.147.50.146[admin@dxxxn.ru]...61.118.169.146[admin@dxxxn.ru]===192.168.100.0/24
000 "root2sborka_1":   ike_life: 7800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "root2sborka_1":   policy: RSASIG+ENCRYPT+COMPRESS+TUNNEL+PFS; interface: eth1; erouted
000 "root2sborka_1":   newest ISAKMP SA: #94; newest IPsec SA: #95; eroute owner: #95
000 "root2sborka_1":   IKE algorithms wanted: 5_000-1-5, flags=-strict
000 "root2sborka_1":   IKE algorithms found:  5_192-1_128-5, 
000 "root2sborka_1":   IKE algorithm newest: 3DES_CBC_192-MD5-MODP1536 (extension)
000 "root2sborka_1":   ESP algorithms wanted: 3_000-1, ; pfsgroup=5; flags=-strict
000 "root2sborka_1":   ESP algorithms loaded: 3_168-1_128, 
000 "root2sborka_1":   ESP algorithm newest: 3DES_0-HMAC_MD5; pfsgroup=MODP1536 (extension)
---
000 #95: "root2sborka_1" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 1812s; newest IPSEC; eroute owner
000 #95: "root2sborka_1" esp.be341507@61.118.169.146 esp.a534ef8f@212.147.50.146 comp.a4ff@61.118.169.146 comp.bec5@212.147.50.146 tun.1083@61.118.169.146 tun.1082@212.147.50.146
000 #94: "root2sborka_1" STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 3933s; newest ISAKMP
---

after this VPN Routing:
0          192.168.0.0/24     -> 192.168.100.0/24   => tun0x1083@61.118.169.146

here 0.0/24 is network "root", 100.0/24 is "sborka", 212.147.50.146 is external IP "here"(root), and 61.118.169.146 is external IP "there" (sborka)

but 0 - is transferred packets [:(]

Some suspicious for me thing below.
This is routing table:

212.147.50.146 dev eth0  scope link 
212.147.50.144/28 dev eth1  scope link 
>212.147.50.144/28 dev ipsec0  proto kernel scope link src 212.147.50.146 
>192.168.100.0/24 via 212.147.50.145 dev ipsec0 
192.168.0.0/24 dev eth0  scope link 
127.0.0.0/8 dev lo  scope link 
default via 212.147.50.145 dev eth1 

default gateway 212.147.50.145

Suspicious for me marked as ">"
Why 100.0/24 (remote network) routed to default gateway? Maybe problems is here?  


This thread was automatically locked due to age.
  • 0
    check routing on your clients.. they should have the ASL on the local subnet as default gateway (or at least as gateway for the remote subnet)

    maybe checking packetfilter (livelog) may help, too.

    cheers
    /marcel 
  • 0
    Hi,

    I had various similar issues in setting up the VPN.  A couplle of things to check.

    When trying to contact the remote LAN, make sure you connect from a machine on the local network and not from the Astaro box directly.

    From what you supplied, it does look like the tunnel is established - just that routing is blocking transfers. Check the packet filter log and filter rules to make sure they are not stopping traffic. Also, in the definitions for the VPN connections at both Astaro boxes, make sure you initially enable the auto packetfiltering so that the system will automatically allow all traffic between both networks. 
Cookie Information Banner