Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 1416 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ipsec tunnel only accessable from one site

HLW_admin
I set up an ipsec site-to-site vpn with rsa authentication: One site is an astaro 7.404, the other 7.403.
Following problem: The tunnel works but after some time it only seems to be working, because it is just possible to inititiate a connection from one site to the other - and it is allways the same site; after having done this it works fine for a while and then the same thing happens. 
I tested different authentications, different gw-type (initiate on both sites or initiate nd just answering) - can't find any solution.
Thank you for your help!


This thread was automatically locked due to age.
Parents
  • 0
    At first glance, it looks like the local interface on Astaro 1 should be 'External' instead of 'DMZ'.
  • 0 in reply to BAlfson
    the astaro has 3 nics.
    Tnak you again for your answer, my explanation:
    Teh 3 nics are
    eth0 -> "Internal"
    eth1 + eth2 = br0 -> "DMZ"
    I was not sure, which is a good name, because in fact the
    traffic on my "DMZ" is also screened by the firewall - am I right?
    Is there another nic necessary? The astaro is vmware - so would be
    no problem.
    Thanks,
    Wolfgang
  • 0 in reply to HLW_admin
    Now, there's an interesting question - is it possible to configure a Remote Access server on bridged interfaces?  It seems like Wolfgang has proven that it isn't.

    Can anyone else report on this?

    Cheers - Bob
  • 0 in reply to BAlfson
    Well, the tunnel is allways up (pictures in my last post) and one site can allways send data - and after having sent for a non predictive time also the other site can initiate asome communication - so I think, it works on bridged interfaces and there is another problem.
    the livelog now:

    2009:08:06-23:14:56 c2 pluto[5498]: "S_Unknown Object" #3: received Vendor ID payload [RFC 3947] 
    2009:08:06-23:14:56 c2 pluto[5498]: "S_Unknown Object" #3: enabling possible NAT-traversal with method 3 
    2009:08:06-23:14:56 c2 pluto[5498]: "S_Unknown Object" #3: NAT-Traversal: Result using RFC 3947: no NAT detected 
    2009:08:06-23:14:56 c2 pluto[5498]: "S_Unknown Object" #3: we don't have a cert 
    2009:08:06-23:14:56 c2 pluto[5498]: "S_Unknown Object" #3: Peer ID is ID_IPV4_ADDR: 'x.x.x.x' 
    2009:08:06-23:14:56 c2 pluto[5498]: "S_Unknown Object" #3: ISAKMP SA established 
    2009:08:06-23:14:56 c2 pluto[5498]: "S_Unknown Object" #4: initiating Quick Mode RSASIG+ENCRYPT+TUNNEL+PFS+UP {using isakmp#3} 
    2009:08:06-23:14:56 c2 pluto[5498]: "S_Unknown Object" #4: Dead Peer Detection (RFC 3706) enabled 
    2009:08:06-23:14:56 c2 pluto[5498]: "S_Unknown Object" #4: sent QI2, IPsec SA established {ESP=>0xc9681087 
  • 0 in reply to HLW_admin
    I wonder if one or both of your interfaces might not have an MTU that's causing this problem.  I'm still not convinced that the problems don't stem from the bridging.
Reply Children
  • 0 in reply to BAlfson
    For now I solved the problem as follows: Every 10 minutes (an interval of 15 was to long) I send only one ping with 1 byte from that site, that can allways connect - and so the tunnel is stable ... Its really funny because I changed nothing else.