Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 398 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Why packets seems not to be routed?

zarrelli
Hi, 

I'm trying to setup a Site2Site VPN and the links goes on, no problems on that.

Then, I can't do anything from my internal network to the remote network. Let's say:

Remote private test host: 10.10.10.10
Remote private network: 10.10.10.0/24
Remote public gw: public ip

Local public gw: public ip2
Local  private network: 192.168.1.0
Local private gw 192.168.1.1
Local private test host 192.168.1.2

The vpn link is green, so ok. But If I traceroute:

traceroute -s 192.168.1.2 10.10.10.10
traceroute to 10.10.10.10 (10.10.10.10) from 192.168.1.2, 64 hops max, 52 byte packets
 1  192.168.1.1 (192.168.1.1)  4 ms  0 ms  1 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *
31  * * *
32  * * *
33  * * *
34  * * *
35  * * *
36  * * *
37  * * *
38  * * *
39  * * *
40  * * *
41  * * *
42  * * *
43  * * *
44  * * *
45  * * *
46  * * *
47  * * *
48  * * *
49  * * *
50  * * *
51  * * *
52  * * *
53  * * *
54  * * *
55  * * *
56  * * *
57  * * *
58  * * *
59  * * *
60  * * *
61  * * *
62  * * *
63  * * *
64  * * *

Why? Should I masquerade, dnat, create some packet filter route? What?


This thread was automatically locked due to age.
Parents
  • 0
    Did you setup routes under Network/Routing at both sites?  I overlooked that part the first time.
  • 0 in reply to cahostetler
    Zarelli and I worked on this via email since he had network definitions he didn't want to publicize.  What the rest of us had failed to notice was that he had added an external interface (and thus, a second WAN connection) to the Astaro instead of simply adding an address on the external interface he already had configured other things with.

    When he put an additional address on the external interface, everything worked, so you were right about routing being the problem.

    At one of our client sites, they have about 20 web stores on a single webserver.  Each store has a different public IP address.  There are over 20 public IPs on their one external Astaro interface.  Each public IP has DNAT to the internal IP of the individual store.  They have a Site-to-Site IPSec VPN through that interface and use it for Road-Warrior L2TP over IPSec.

    You *can* have two internet (WAN) connections, but you need to use policy routing to move selected traffic through one instead of the other.  For example, one might be used for VPN and internet access while the other is reserved for web servers.  If you want to do that, search the forums for 'policy routing' and the Astaro KnowledgeBase for 'routing'.

    If your public IPs come in as a part of one connection, then the right solution is a single external interface with additional addresses.  If you have service from two different ISPs and thus a different public IP gateway, then you need different external interfaces on the Astaro.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    That's right.

    I have different ips on the WAN interface but my version of the Astaro (7.009) didn't let me select those "additional addresses", so I thought I had to use an additional wan interface.

    I noticed it was a routing problem when I issued a "route -n" on the Astaro box.

    Then, I just used the old wan interface, disabled the new, restricted the access to the ipsec through some packet policy and it worked as a charm.

    Thank you BAlfson for you help :-)

    Giorgio
Reply
  • 0 in reply to BAlfson
    That's right.

    I have different ips on the WAN interface but my version of the Astaro (7.009) didn't let me select those "additional addresses", so I thought I had to use an additional wan interface.

    I noticed it was a routing problem when I issued a "route -n" on the Astaro box.

    Then, I just used the old wan interface, disabled the new, restricted the access to the ipsec through some packet policy and it worked as a charm.

    Thank you BAlfson for you help :-)

    Giorgio
Children
No Data
Cookie Information Banner