Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 4151 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site Routing Issue

curto21
I've been stuck for two days trying to get a Site to Site IPsec VPN between two locations. The VPN connection appears to be working (see screenshot), however, it seems I'm having trouble routing through it. Here are the details:

Astaro Security Gateway (7.504) NETWORK A
Interfaces:
--------------------------
eth0 : (internal) 192.168.0.1 255.255.255.0
eth1 : (external) ***.***.***.***

VPN Connection settings:
Auto Packet filter is ON
Strict routing is OFF
Local Network: 192.168.0.0/24

VPN Remote Gateway Settings:
Gateway type:Initiate Connection (both sides are static)
Authentication type: PSK
Remote networks: 172.16.0.0/19

pfSense Firewall NETWORK B
--------------------------
eth0 : (internal) 172.16.0.1 - 255.255.224.0
eth1 : (external) ***.***.***.***


I have a mail server on network A that I need to access from network B. It is located at 192.168.0.75

I have a user pc on network B that needs access to resources on network A. It is located at 172.16.0.19

Here are the tests:

If I run a ping test from 172.16.0.19 --> 192.168.0.1, all pings return just fine. This leads me to believe that traffic is getting through the VPN.

If I run a ping test from 172.16.0.19 --> 192.168.0.75, all pings do NOT return.

If I run a traceroute from 172.16.0.19 --> 192.168.0.75, the first hop shows the astaro's local ip of 192.168.0.1. All hops after that timeout.

If I run a ping from the astaro (webmin>support>tools>ping check) 192.168.0.1 --> 192.168.0.75, all pings return just fine.

If I run a ping from the astaro, 192.168.0.1 --> 172.16.0.1, I get the following error (see screenshot):

Ping check did not deliver a result, because of a probably non-existing ip address / hostname

If I run a traceroute from 192.168.0.75 --> 172.16.0.1, the first hop shows the astaro's local ip of 192.168.0.1. All hops after that timeout.

Thinking it might be issues with ICMP packets (though global ICMP settings on astaro are enabled), I also tried TELNETTing from 172.16.0.19 --> 192.168.0.75 port 25 with no response.

There may be more than one issue here as pings from network B can get to at least the astaro on network A while it seems pings from network A can't get to network B at all. What am I missing? Any help would be greatly appreciated. Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    You were right once again.  I double checked the rules on the pfSense box.  Apparently, the pfSense firewall does not allow incoming traffic over the IPSEC VPN by default.  I created a new rule and, go figure, traceroutes and pings are getting through.  It's still not allowing all traffic at this point, but I think I just need to tweak the firewall rules a bit.  Thanks so much for your help.
Reply
  • 0
    You were right once again.  I double checked the rules on the pfSense box.  Apparently, the pfSense firewall does not allow incoming traffic over the IPSEC VPN by default.  I created a new rule and, go figure, traceroutes and pings are getting through.  It's still not allowing all traffic at this point, but I think I just need to tweak the firewall rules a bit.  Thanks so much for your help.
Children
No Data