Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 688 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

No traffic between sites - routing seems ok

skiller
Hi,

we a have customer who has two networks, that shall be interconnected with a VPN. One network has for legacy reasons an Astaro 4 (i'll call it A1, 192.168.1.1) and the other an Astaro 5 (A2,192.168.1.1 ). A1 already runs successfully a VPN-connection for a employee with a notebook.

The VPN should work via RSA-Keys and it has been set up according to the Astaro-HOWTO.

The VPN-tunnel goes up w/o any fuss and in both cases the routing seems to be correct:

A1:
# ip route get 192.168.2.1
192.168.2.1 dev ipsec0  src 212.202.245.230 
    cache  mtu 16260 advmss 16220

A2:
# ip route get 192.168.1.1
192.168.1.1 dev ipsec0  src 212.202.144.170 
    cache  mtu 1420 advmss 1380

The only thing that puzzles me are the different mtus/advmss.

When I start tcpdump -i ipsec0 on A2 and try to ping A1, the packets appear so the routing is ok. Unfortunately I can't try it on A1 as Astaro 4 has no packetsniffer. [:(]

A ping -I ipsec0 on both sides also doesn't make the ping return...

ICMP in all forms is permitted on both hosts and packetfilters are set to allow anything.

Can anybody help please? [:(]

TIA

P.S. In the HOWTO is a additional not, that: "You will need packet filters in order for traffic flow from network to network." What does it mean? Have I to have some special rules apart from allowing everything? The packetlogs don't mention any dropped ipsec/ping-packets.


This thread was automatically locked due to age.
Parents
  • 0
    hi skiller,
    you wrote both networks A1 and A2 have the same IP-Range. The ASL can't handle that. Later you wrote A1 is 192.168.2.1
    and A2 is 192.168.1.1

    what are you ip's in witch networks please tell me
    the we looking for the next step
Reply
  • 0
    hi skiller,
    you wrote both networks A1 and A2 have the same IP-Range. The ASL can't handle that. Later you wrote A1 is 192.168.2.1
    and A2 is 192.168.1.1

    what are you ip's in witch networks please tell me
    the we looking for the next step
Children
  • 0 in reply to bmwRS100
    Thanks you for your reply!

    A1 is 192.168.1.1 with 192.168.1.0/24
    A2 is 192.168.2.1 with 192.168.1.0/24

    What we found out so far is that the outgoing packets have the external IP of the firewall.

    So ping -I 192.168.1.1 192.168.2.1 and vice versa work. How can we make this work correctly?  [:S]

    Thanks again, your help is apreciated!
  • 0 in reply to skiller
    [ QUOTE ]
    A1 is 192.168.1.1 with 192.168.1.0/24
    A2 is 192.168.2.1 with 192.168.1.0/24

    [/ QUOTE ] Are your two 192.168.1.0/24 entries a  typo? You can't have a 192.168.1.0 network  in two places, and expect routing between them to work.

    IP protocol routing operates on the simple principle that all the routed networks have different net numbers.
  • 0 in reply to VelvetFog
    OMG I'm just unused to this keyboard and I thought I had doublechecked it. [:(]((

    A1: 192.168.1.1 with 192.168.1.0/24
    A2: 192.168.2.1 with 192.168.2.0/24

    *sigh* I'm not that dumb as my typos might suggest [:(]
Cookie Information Banner