Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 4152 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site Routing Issue

curto21
I've been stuck for two days trying to get a Site to Site IPsec VPN between two locations. The VPN connection appears to be working (see screenshot), however, it seems I'm having trouble routing through it. Here are the details:

Astaro Security Gateway (7.504) NETWORK A
Interfaces:
--------------------------
eth0 : (internal) 192.168.0.1 255.255.255.0
eth1 : (external) ***.***.***.***

VPN Connection settings:
Auto Packet filter is ON
Strict routing is OFF
Local Network: 192.168.0.0/24

VPN Remote Gateway Settings:
Gateway type:Initiate Connection (both sides are static)
Authentication type: PSK
Remote networks: 172.16.0.0/19

pfSense Firewall NETWORK B
--------------------------
eth0 : (internal) 172.16.0.1 - 255.255.224.0
eth1 : (external) ***.***.***.***


I have a mail server on network A that I need to access from network B. It is located at 192.168.0.75

I have a user pc on network B that needs access to resources on network A. It is located at 172.16.0.19

Here are the tests:

If I run a ping test from 172.16.0.19 --> 192.168.0.1, all pings return just fine. This leads me to believe that traffic is getting through the VPN.

If I run a ping test from 172.16.0.19 --> 192.168.0.75, all pings do NOT return.

If I run a traceroute from 172.16.0.19 --> 192.168.0.75, the first hop shows the astaro's local ip of 192.168.0.1. All hops after that timeout.

If I run a ping from the astaro (webmin>support>tools>ping check) 192.168.0.1 --> 192.168.0.75, all pings return just fine.

If I run a ping from the astaro, 192.168.0.1 --> 172.16.0.1, I get the following error (see screenshot):

Ping check did not deliver a result, because of a probably non-existing ip address / hostname

If I run a traceroute from 192.168.0.75 --> 172.16.0.1, the first hop shows the astaro's local ip of 192.168.0.1. All hops after that timeout.

Thinking it might be issues with ICMP packets (though global ICMP settings on astaro are enabled), I also tried TELNETTing from 172.16.0.19 --> 192.168.0.75 port 25 with no response.

There may be more than one issue here as pings from network B can get to at least the astaro on network A while it seems pings from network A can't get to network B at all. What am I missing? Any help would be greatly appreciated. Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    Sorry, yes you are right, the first hop from network B is 172.16.0.1 followed by 192.168.0.1 and then it stopped.  However, that is old news.  Here is an update:  (I honestly don't know what changed.  Perhaps, it was the strict routing, and I didn't give it enough time to "digest" the change when testing.)

    I now can access services on network A from network B with no problems.  This includes web, telnet, and file sharing.   For example, 172.16.0.19 is a windows machine on network B.  192.168.0.75 is a windows server on network A.  In the address bar on 172.16.0.19 I can type "\192.168.0.75" and all shares appear.  However if I reverse that, (typing "\172.16.0.19" in the address bar on 192.168.0.75) I get "Windows cannot access... there may be a problem with your network".

    Traceroutes to network B from network A still stop at 192.168.0.1 and I still can't ping anything on network B directly from the Astaro itself.  I'm at a loss. 

    There are no NAT rules in place.  And strict routing is now turned on.
Reply
  • 0
    Sorry, yes you are right, the first hop from network B is 172.16.0.1 followed by 192.168.0.1 and then it stopped.  However, that is old news.  Here is an update:  (I honestly don't know what changed.  Perhaps, it was the strict routing, and I didn't give it enough time to "digest" the change when testing.)

    I now can access services on network A from network B with no problems.  This includes web, telnet, and file sharing.   For example, 172.16.0.19 is a windows machine on network B.  192.168.0.75 is a windows server on network A.  In the address bar on 172.16.0.19 I can type "\192.168.0.75" and all shares appear.  However if I reverse that, (typing "\172.16.0.19" in the address bar on 192.168.0.75) I get "Windows cannot access... there may be a problem with your network".

    Traceroutes to network B from network A still stop at 192.168.0.1 and I still can't ping anything on network B directly from the Astaro itself.  I'm at a loss. 

    There are no NAT rules in place.  And strict routing is now turned on.
Children
No Data