Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 30 replies
  • Subscribers 1 subscriber
  • Views 24389 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Howto force all traffic through vpn-tunnel

wk_03
Hi,

I have here a configuration that works stable for a long time. 
A main office and a branch office are connected via 2 ASG. The remote networks are the internal office-networks of the opposite site.

Now I want to force all traffic through the tunnel (espacially to reach an external POP-server over the main office proxy).

When I add 'ANY' to the local networks at the main office and 'ANY' to the remote networks at the branch office, the connection establishes and works, but every 3 to 5 minutes the connection dies and it takes a minute or two to restart.

(pluto[***xx]: shutting down interface ipsec0/ppp0 ***.***.***.***)


This thread was automatically locked due to age.
  • 0 in reply to wk_03
    I don't think either of these relate to your problem, but I see two things that are set on the 'Advanced' tab.  
    [LIST=1]
    • It looks like you don't have NAT-T enabled, but I would have expected that it would be needed; what do you think?

    • "crl not found" seems odd.  If you have automatic fetching enabled, the manual comments, "If you use this feature, make sure that you set the packet filter rules accordingly, so that the CRL distribution server can be accessed."
    [/LIST]
    The other thing that comes to mind is hardware.  I was going to suggest that you switch the interfaces used for Internal and External to rule out cables and such.  You might want to try that, but I see that your interface is PPPoE, and I recall that Barry talked about setting the MTU of the External interface, setting it to half-duplex and/or setting the speed fixed instead of auto.

    I hope Gert comes back by this thread!

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob,

    I had NAT-T enabled, but because both sides are not natted (direct connection to DSL) I disabled it.

    CRL is not needed for my opinion since we use a self signed CA and all cert are under my control.

    The MTU is set to default. That means 'Allow Path MTU Discovery' is enabled and MTU set to 1420. Interface MTU is 1492.

    Hardware for branch office is a brandnew ASG 110 Rev. 2

    Hardware in HQ is a PC, that runs since several month with 3 site-2-site-vpns without problems. But they all tunnel only to internal network.
  • 0 in reply to wk_03
    Good, I was just trying to make sense out of something that seems to stop suddenly.  I notice that the tunnel was shut down after 256 (2^8) seconds had passed.  Is it always exactly four minutes and 17 seconds after the last "up" message?

    Chees - Bob
  • 0 in reply to wk_03
    Guys,
    i am still there but traveling, i get back to you on monday.
    regards 
    Gert
  • 0 in reply to Gert Hansen
    Bob,

    I just calculated some differences, but it is not the same. It is between 4 and 5 minutes.

    I tried to sort out hardware problems on the HQ side and built a new vpn-tunnel to my home box. 
    Surprise or not.
    It's just the same. It's shutting down after 4 min and something.

    Next thing. I'll grab another new ASG 110 and try the tunnel.
  • 0 in reply to wk_03
    I run out of ideas.

    I took a brandnew ASG 110. Just basic setup. No restore from a backup. Created new certs and built tunnel to my home box.

    Same behavior. Only difference is, that it is shutting down after less than 4 minutes.

    Where is the bug?
  • 0 in reply to wk_03
    Now I can sort out hardware problems and problems with the DSL-line.
    Because it is weekend and I'm not disturbing someone, I biult a tunnel between two remote ASGs and tried the 'Any'.
    Same result as here. Around 4 min cycle.

    So it only can be configuration. They are all configured by me with the same scheme as it is shown above.
  • 0 in reply to wk_03
    I'm still fighting.

    I thaught, it is a common situation and had to be solved many times before.

    No ideas? No hints, where to search?
  • 0 in reply to wk_03
    Jeeepee,

    I changed the policy from AES-256 PFS to AES-128 and now the tunnel is open more than an hour.
    The first rekeying occured without problems.

    Can someone explain me, why the stability of the tunnel depends on the keylength?

    Anyhow, I will watch the stability for another day, but the costumer is waiting for his solution.
  • 0 in reply to wk_03
    You know, Walter, I bet you could change to any other policy.  Don't ask me why, I think it must be magic.

    How about it, does anyone here know?

    Cheers - Bob
    PS So, you are confirming that the only thing you changed from the prior page was "AES-256 PFS' to "AES-128" - right?