Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 12945 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Site-to-Site IPSec ok but no ping

whaege
Hello,
I have connected 2 ASG via Site-to-site IPsec, the connection is fine.
The Home network is 10.10.0.0 /16 and the remote network 192.168.0.0 /16.
If I now traceroute from remote (192.168.217.1) to 10.10.2.78 I come to the internal address of the Home Astaro (10.10.2.6) but than it stopps.
Ping also is not working, if I create a DNAT ( Traffic Source: Remote network, Traffic Service: ping,Traffic Destination:Home network, Destination: internal address, Service: ping) it works.
I like to allow Service:any, but this is not allowed in NAT.
How can I route all service from remote network into home network
Thank you for your help!
Wolfgang


This thread was automatically locked due to age.
  • 0
    Is Ping / Traceroute enabled on both devices?

    "Network Security" ==> "Packet Filter" ==> "ICMP"

    If you enable automatic packet filter when creating the VPN, everythig is allowed (except Ping / Traceroute if disabled)
  • 0 in reply to UrsWeiss
    Thank you for the answer!
    I had enabled the ping and traceroute settings, but if I disable the DNAT for ping, the ping doesnt work anymore, traceroute is also not working.
    remark: Both Astaros act as proxy servers in there local networks - is that a topic?
  • 0 in reply to whaege
    Other question. Why a NAT? You dont't need a NAT on a Site-2-Site VPN at all.
    Check the local/remote networks on both devices. Sound a bit like a wrong routing.

    Don't know much about the proxy stuff, but don't think that makes a difference.
  • 0 in reply to UrsWeiss
    I thought about you comment, my error was , that I have to add a route to the pc in the remote network, because even the 2 networks are conneted to one physical lan, I can not ping from 10.10.2.1 to 192.168.217.1.
    Is it possible to let Astaro make the routing job?
    At the moment I have on the pc (192.168.217.1) a route (10.10.2.1  192.168.217.29 (astaro)).
  • 0
    Whaege, as Whity said, if your site-to-site settings are correct, you don't need any NAT rules, nor do you need any additional routes.  Please show pictures of the 'Site-to-site VPN tunnel status' on both Astaros (Click on 'Site-to-Site VPN').  Depending on what those show, we may need to look at pictures of the IPsec Connection' and 'Remote Gateway' from both Astaros.

    Cheers  - Bob
  • 0 in reply to BAlfson
    BAlfson, here are the two configs. Because there are public IPs, I greyed them, but they are the same vice versa
  • 0 in reply to BAlfson
    BAlfson thank you for your answer. Here are the two configs. Because there are public IPs, I greyed them, but they are the same vice versa
  • 0
    Is it possible that the default gateway for your PC isn't 192.168.217.29 (the Astaro)? And/or that the device at 10.10.2.1 does not have 10.10.2.2 (Astaro) as the default gateway? If so, then you're right that you need routes in the PCs, and the Astaro cannot do that for you.

    Cheers - Bob
  • 0 in reply to BAlfson
    Ok, you got it and I haven't seen it: The gateway for the pc is 192.168.217.29, but the gateway for the device 10.10.2.1  is not the astaro.
    Thanks for your help, you removed the tomatoes from my eyes!
  • 0
    You're welcome! That sounds like a colorful expression.  Wie wär’s auf Deutsch – Du hast die Tomaten von meinen Augen herausgenommen?  Oder gibts ein Ausdruck im örtlichen Dialekt?

    Cheers - Bob