Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 4147 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site Routing Issue

curto21
I've been stuck for two days trying to get a Site to Site IPsec VPN between two locations. The VPN connection appears to be working (see screenshot), however, it seems I'm having trouble routing through it. Here are the details:

Astaro Security Gateway (7.504) NETWORK A
Interfaces:
--------------------------
eth0 : (internal) 192.168.0.1 255.255.255.0
eth1 : (external) ***.***.***.***

VPN Connection settings:
Auto Packet filter is ON
Strict routing is OFF
Local Network: 192.168.0.0/24

VPN Remote Gateway Settings:
Gateway type:Initiate Connection (both sides are static)
Authentication type: PSK
Remote networks: 172.16.0.0/19

pfSense Firewall NETWORK B
--------------------------
eth0 : (internal) 172.16.0.1 - 255.255.224.0
eth1 : (external) ***.***.***.***


I have a mail server on network A that I need to access from network B. It is located at 192.168.0.75

I have a user pc on network B that needs access to resources on network A. It is located at 172.16.0.19

Here are the tests:

If I run a ping test from 172.16.0.19 --> 192.168.0.1, all pings return just fine. This leads me to believe that traffic is getting through the VPN.

If I run a ping test from 172.16.0.19 --> 192.168.0.75, all pings do NOT return.

If I run a traceroute from 172.16.0.19 --> 192.168.0.75, the first hop shows the astaro's local ip of 192.168.0.1. All hops after that timeout.

If I run a ping from the astaro (webmin>support>tools>ping check) 192.168.0.1 --> 192.168.0.75, all pings return just fine.

If I run a ping from the astaro, 192.168.0.1 --> 172.16.0.1, I get the following error (see screenshot):

Ping check did not deliver a result, because of a probably non-existing ip address / hostname

If I run a traceroute from 192.168.0.75 --> 172.16.0.1, the first hop shows the astaro's local ip of 192.168.0.1. All hops after that timeout.

Thinking it might be issues with ICMP packets (though global ICMP settings on astaro are enabled), I also tried TELNETTing from 172.16.0.19 --> 192.168.0.75 port 25 with no response.

There may be more than one issue here as pings from network B can get to at least the astaro on network A while it seems pings from network A can't get to network B at all. What am I missing? Any help would be greatly appreciated. Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    If I run a traceroute from 172.16.0.19 --> 192.168.0.75, the first hop shows the astaro's local ip of 192.168.0.1. All hops after that timeout.

    You meant the first hop was 172.16.0.1, right?

    Thanks for the reply. I had already tried it with strict routing turned on just for the heck of it, and I tried it again based on your recommendation. There were no changes in the above tests.

    Did you give it a minute or two to digest the changes before you tested?

    Also, I tried setting up a DNAT rule for ping and suddenly I can ping from 172.16.0.19 --> 192.168.0.75. I then removed the the DNAT rule I just created, and I can still ping from network B to network A.
     
    I can't imagine that creating then deleting a DNAT would fix this in one direction, but seeeing the DNAT might be a clue...

    Cheers - Bob
Reply
  • 0
    If I run a traceroute from 172.16.0.19 --> 192.168.0.75, the first hop shows the astaro's local ip of 192.168.0.1. All hops after that timeout.

    You meant the first hop was 172.16.0.1, right?

    Thanks for the reply. I had already tried it with strict routing turned on just for the heck of it, and I tried it again based on your recommendation. There were no changes in the above tests.

    Did you give it a minute or two to digest the changes before you tested?

    Also, I tried setting up a DNAT rule for ping and suddenly I can ping from 172.16.0.19 --> 192.168.0.75. I then removed the the DNAT rule I just created, and I can still ping from network B to network A.
     
    I can't imagine that creating then deleting a DNAT would fix this in one direction, but seeeing the DNAT might be a clue...

    Cheers - Bob
Children
No Data