Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1397 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC tunnels completing, communication hampered

Comnet
Hello everyone.

I am experiencing some rather frustrating results with IPSEC tunnels we are testing between 3 
ASL 4.019 boxen.  Here is the breakdown:


BOX A  INTERNAL NETWORK 10.10.10.0/24
BOX B  INTERNAL NETWORK 10.10.2.0/24
BOX C  INTERNAL NETWORK 192.168.0.0/24


All tunnels are AES_PFS and using PSKs,NET-TO-NET, and all tunnels are completing and showing as erouted within the connections screen - suggesting the initial setup is solid.

Tunnel BOX A and B: 
B network can reach everything on the A network.  Nothing on the A network can reach anything on the B network.  No packets being dropped in packet filter logs, no evidence of what is happening to packets.

Tunnel  BOX A and C: 
Tunnel completes, but no communication between either network.

Tunnel between BOX B and C: 
Tunnel completes, B network can hit everything on C network, C  network cannot hit anything on B network. Again, no evidence of  dropped packets.

On all the affected boxes, packet filter rules have been added to allow everything from the remote network to communicate with everything on the local network.  The issues almost sound like
NATing is occuring (due to the one way communication), but I can't see why that would occur as all the NAT rules are pretty standard (simple masq rule for internal network to outside). Am I missing something really obvious?  All network's default gateways are set to the ASL boxen.  


This thread was automatically locked due to age.
  • 0
    What is the local-/remotesubnet on each IPSec-Connection?
    Do you use masquerading or SNAT?

    Xeno  
  • 0 in reply to Xeno
    Hi Comnet,
    are there any NATting Devices between the Boxes?
    Try the NAT Traversal function.

    HTH

    Regards

    Udo Seiler 
  • 0 in reply to Xeno
     [ QUOTE ]
    What is the local-/remotesubnet on each IPSec-Connection?
    Do you use masquerading or SNAT?
      

    [/ QUOTE ] 

    If you are wanting the local/remote subnets of the internal networks, those are listed in the original post.  Are you asking for the external endpoints?  There is a MASQ rule on each box that  masqs the internal network to the external interface.

    In response to the other reply, NAT-T is turned on in all connections, but there are no NAT devices in between any of these boxes.  
  • 0 in reply to Comnet
    Hi Comnet,

    please compare your packet filter rules.
    The traffic from one network to the is working, but not in the other direction??? 
    So, only look at one connection and make this working in both directions.

    HTH

    Regards

    Udo Seiler 
  • 0
    Do you use a normal "masquerading"? Or do you use "SNAT" for masquerading? There's a difference in between these to types of masquerading.
    "Masquerading" happens after IPSec and "SNAT" happens before IPSec. So by using SNAT your IPSec-Subnetdefinitions may not match any more.

    Xeno  
  • 0 in reply to Xeno
     [ QUOTE ]
     Do you use a normal "masquerading"? Or do you use "SNAT" for masquerading? There's a difference in between these to types of masquerading.
    "Masquerading" happens after IPSec and "SNAT" happens before IPSec. So by using SNAT your IPSec-Subnetdefinitions may not match any more.
     

    [/ QUOTE ] 

    Xeno!  Thank you so much.  I checked and sure enough, we were using a DNAT rule on Box A instead of masquerading.  That would explain why we weren't seeing any of the dropped packets.  I can finally put this issue to rest.  Kudos to you!  
Cookie Information Banner