Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 5298 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HA (Active/Passive) and IPSEC Site to Site

Morten B.
Hi

Experiencing problems with an IPSEC tunnel on this setup, the tunnel goes up and hosts in both nets can be pinged. The Astaro on the remote site can also ping hosts on the the other side, but the local astaro (the  ha setup) cannot ping/communicate with any hosts on the remote site. Also from traceroute I can see that it is trying to go outside the tunnel to reach the private net on the remote side.

Version is 7.501


Anyone experienced this before ?

Have also tried to make an NAT to force the traffic to the remote net to use the correct interface, but still nothing happens.

Appreciate any help [[:D]]


Best regards
MB


ps; Sorry for the title, not blaiming HA in particular [[:D]]


This thread was automatically locked due to age.
  • 0
    Don't have any problems on our cluster setup here.

    Have you checked that the Astaros both sides allow ping and traceroute communication? Only idea i have at the moment.
  • 0 in reply to UrsWeiss
    To explain a bit more, the ipsec setup is kind of like the below:

    10.176.100.0/24 - x.x.x.x (wan)  x.x.x.x (wan remote) 10.176.1.0/24
    10.176.101.0/24 (clients)
    10.176.102.0/24 (clients)
    10.176.103.0/24 (clients)

    10.176.100.0 beeing the "Internal network". The setup has the primary mx on the left side e.g 10.176.100.1 and the exchange server on the right side e.g 10.176.1.100. Now all clients can communicate with exchange server, using the ipsec tunell. Exchange server can communicate with 10.176.100.1, but 10.176.100.1 cannot communicate with Exchange, and thus, emails will not be delivered to Exchange. To solve I am now using exernal ip's and NAT on the right side, to make sure smtp works. 

    Strangely this setup has worked previously and also seems to work now and then, by  turning tunells of and on again, a few times.
  • 0 in reply to Morten B.
    Strangely this setup has worked previously and also seems to work now and then


    Sounds like an IPS problem to me. Is it enabled? If yes, then check if the IPS counter on the dashboard increases if you try to access.
  • 0
    Could be, but disabled IPS a long time ago, due to other issues.
  • 0
    Please show pictures of edits of the IPsec Connection and Remote Gateway for both sides.  Also, one of the 'Site-to-Site VPN Status'

    Cheers - Bob
  • 0
    BAlfson; Are you awhere of how much photoshopping work this is [:D]

    There is abt thre nets on one side an 8 or 9 on the other, so there are ALOT of SA's.....
  • 0
    Morton, I just meant from one set not working: Two Remote Gateways, Two IPsec connections and one pic of the status page.  I agree with Whity though - are you sure the IPS is completely disabled?  Was there anything strange in the packet filter log?  Did you try flushing the DNS cache on the cluster?

    Cheers - Bob
  • 0
    IPS is definetly disabled.

    Have not check DNS cache, but for sure the communication does not use hostnames, only IP's. When tunell is up, all clients can ping the right side net, but the firewall itself cannot. Also when doing traceroute with the firewall, it goes outside the tunell, even though the IP's are private!!