VPN tunnel ok, but no network traffic

I take it that this is a Site-to-Site connection.  Please show pics of the Remote Gateway and IPsec Connection for each side of the VPN.

Cheers - Bob

hope it helps.

Thanks, I didn't realize that the other end of the VPN was not an Astaro!

I aplogize that my question was imprecise.  Attached are the pictures I hoped to see from your system.

Also, could you provide a picture of the 'Site-to-site VPN tunnel status'?  Just click on 'Site-to-site VPN' in WebAdmin.

Have you checked the appropriate boxes in WebAdmin to allow pings and traceroutes through the Astaro? 'Network Security >> Packet Filter' 'ICMP' tab.

Cheers - Bob

hi bob,

thank you very much for your help!
here the screen shots you requested.



local interface is the firewalls gatway.
local networt is a network build on an additional address called VPN.





pings and trace routes through the astaro are allowed.

regards
kerdos

I'm a little confused.  Please tell me what I'm missing.
[LIST=1]

• You have a group of traders in an internal network, 'TRADERS IF [VPN] (Network)' which is connected to your Astaro and has it's own range of PRIVATE IPs.
  
• At another site, you have a Server to which you want to allow access by the traders.
  
• The traders access this Server via a VPN, and is the only thing they should be allowed to access via the VPN.
  
• The Server has a public IP, but cannot be reached on the public internet.

[/LIST]
If all that is true, then your configuration of the Astaro appears to me to be correct.

Do you need to set a route in the Server to have it send the response to VPN traffic to a different gateway than its default?

Cheers - Bob

I'm a little confused.  Please tell me what I'm missing.
[LIST=1]

• You have a group of traders in an internal network, 'TRADERS IF [VPN] (Network)' which is connected to your Astaro and has it's own range of PRIVATE IPs.
  
• At another site, you have a Server to which you want to allow access by the traders.
  
• The traders access this Server via a VPN, and is the only thing they should be allowed to access via the VPN.
  
• The Server has a public IP, but cannot be reached on the public internet.

[/LIST]
If all that is true, then your configuration of the Astaro appears to me to be correct.

Do you need to set a route in the Server to have it send the response to VPN traffic to a different gateway than its default?

Cheers - Bob

[LIST=1]

• 'TRADERS IF [VPN] (network)' is an additional astaro network interface. the network is called VPN.
  
• right, but they where not traders, but support.
  
• the supporter access this server via a VPN, and is the only thing they should be allowed to access via the VPN.
  
• correct.
  

[/LIST]

please, ask me whenever you need additional information.

If VPN Host is the server they're supposed to access, I think you have the Astaro configured correctly; my guess is that you need a route in the server.

Cheers - Bob

hi bob,

the route is set like this. is it right?

destination    gateway
194.xx.xx.0   192.168.17.astaroip

regards
kerdos

I'm guessing that the server '????VPN Host' has a default gateway different from ["Internal" IP of the VPN Gateway], and that you need a route for that reason.  I'm not a guru of routing, but I guess, in a Windows Server, that this would be:

192.168.17.0
255.255.255.0
["Internal" IP of the VPN Gateway]

If putting a static route into the server doesn't start the traffic flow, then I think you'd need to contact the admin of the VPN Gateway to see if there's any conflict with any of your IPs or IP-ranges.

You also could see the traffic in the packet filter log: uncheck 'Auto packet filter' in the IPsec Connection definition, and create two logged packet filter rules 'Internal (Network)  Any  ???VPN Host'.

It seems unlikely, but you also could look in the IPS log.

When the solution is found, please post it here.

Thanks - Bob