Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 5300 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HA (Active/Passive) and IPSEC Site to Site

Morten B.
Hi

Experiencing problems with an IPSEC tunnel on this setup, the tunnel goes up and hosts in both nets can be pinged. The Astaro on the remote site can also ping hosts on the the other side, but the local astaro (the  ha setup) cannot ping/communicate with any hosts on the remote site. Also from traceroute I can see that it is trying to go outside the tunnel to reach the private net on the remote side.

Version is 7.501


Anyone experienced this before ?

Have also tried to make an NAT to force the traffic to the remote net to use the correct interface, but still nothing happens.

Appreciate any help [[:D]]


Best regards
MB


ps; Sorry for the title, not blaiming HA in particular [[:D]]


This thread was automatically locked due to age.
Parents
  • 0
    Don't have any problems on our cluster setup here.

    Have you checked that the Astaros both sides allow ping and traceroute communication? Only idea i have at the moment.
  • 0 in reply to UrsWeiss
    To explain a bit more, the ipsec setup is kind of like the below:

    10.176.100.0/24 - x.x.x.x (wan)  x.x.x.x (wan remote) 10.176.1.0/24
    10.176.101.0/24 (clients)
    10.176.102.0/24 (clients)
    10.176.103.0/24 (clients)

    10.176.100.0 beeing the "Internal network". The setup has the primary mx on the left side e.g 10.176.100.1 and the exchange server on the right side e.g 10.176.1.100. Now all clients can communicate with exchange server, using the ipsec tunell. Exchange server can communicate with 10.176.100.1, but 10.176.100.1 cannot communicate with Exchange, and thus, emails will not be delivered to Exchange. To solve I am now using exernal ip's and NAT on the right side, to make sure smtp works. 

    Strangely this setup has worked previously and also seems to work now and then, by  turning tunells of and on again, a few times.
Reply
  • 0 in reply to UrsWeiss
    To explain a bit more, the ipsec setup is kind of like the below:

    10.176.100.0/24 - x.x.x.x (wan)  x.x.x.x (wan remote) 10.176.1.0/24
    10.176.101.0/24 (clients)
    10.176.102.0/24 (clients)
    10.176.103.0/24 (clients)

    10.176.100.0 beeing the "Internal network". The setup has the primary mx on the left side e.g 10.176.100.1 and the exchange server on the right side e.g 10.176.1.100. Now all clients can communicate with exchange server, using the ipsec tunell. Exchange server can communicate with 10.176.100.1, but 10.176.100.1 cannot communicate with Exchange, and thus, emails will not be delivered to Exchange. To solve I am now using exernal ip's and NAT on the right side, to make sure smtp works. 

    Strangely this setup has worked previously and also seems to work now and then, by  turning tunells of and on again, a few times.
Children
  • 0 in reply to Morten B.
    Strangely this setup has worked previously and also seems to work now and then


    Sounds like an IPS problem to me. Is it enabled? If yes, then check if the IPS counter on the dashboard increases if you try to access.