Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 1399 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

After Upgrade to 8.001 Site-2-Site not working

Buxus
Hi,

i´ve used a working ASG 7.507 Appliance Config and installed it on an 8.001 Software Appliance.
Everything is working fine except the Site-2-Site VPNs.

On the 7.507 4 Sites were working without any problem, but with the new Software none of the Tunnels wants to come up.

It seems that there is no packet coming through or going out of the new box ... 

How can I check what is wrong on that box?

Kind regards

Buxus


This thread was automatically locked due to age.
Parents
  • 0
    So, the tunnels appear as up in the Site-to-site dashboard but no traffic is passing?
  • 0 in reply to d12fk
    no tunnel is up ...

    I´ve had 4 working tunnel but none of them is online and does not appear to be online. The log says nothing and for me it looks like there is no package at all reaching the IPSec Deamon at all ...

    The 4 tunnel are configured as respond only ... 

    I´ve restarted the other tunnel ends but nothing happens.

    Regards

    Buxus
Reply
  • 0 in reply to d12fk
    no tunnel is up ...

    I´ve had 4 working tunnel but none of them is online and does not appear to be online. The log says nothing and for me it looks like there is no package at all reaching the IPSec Deamon at all ...

    The 4 tunnel are configured as respond only ... 

    I´ve restarted the other tunnel ends but nothing happens.

    Regards

    Buxus
Children
  • 0 in reply to Buxus
    Please verify that the ASG receives IKE packets from the IPsec peers. You can run `tcpdump -ni any udp port 500` in a root shell and should get some output showing these packets arriving from the peer IP address.
  • 0 in reply to d12fk
    Thanks for the command, strange behaviour found.

    On my "problem" ASG the command shows no output ...
    But when I issue the command on one of the ASG110 that tries to establish a tunnel I get 
    listening on any, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
    12:01:54.914872 IP X.X.X.X.500 > Y.Y.Y.Y.500: isakmp: phase 1 I ident

    where X.X.X.X is the IP from the 110 trying to establish a tunnel and Y.Y.Y.Y is my problem ASG that sees nothing of the UDP 500 package.

    When I try to ping Y.Y.Y.Y from X.X.X.X the ping is successful but a traceroute dies on the hop before the problem ASG.

    It seems that the problem ASG drops the UDP 500 Packages ... but I don´t know where or why.
    Exactly this config worked for me on the ASG220 Firmware 7.507.

    Any more ideas?

    Regards

    Buxus
  • 0 in reply to Buxus
    If tcpdump does not show any incoming packets they are actually never received, as it displays all packets even if they are doped by the packet filter later in the stack. Your problem must be somewhere on the way to Y.Y.Y.Y.
  • 0 in reply to d12fk
    d12fk,

    thanks for your suggestion, but why should all my four ASG110 have this problem just when I change the ASG220 here?

    I agree with you that no package is received here but there should come packaged from 4 different sources and the best thing is I tried the other way round and configured my ASG to send out to one of the others ...

    Guess what, I see in my tcpdump on my machine the package going out to the ASG110 but there the package never arrives ... 

    Regards

    Thomas
  • 0 in reply to Buxus
    d12fk,

    thanks for the food of thought ... I finally found my problem.
    You were right, no package reached the ASG and no package got out to the internet ... 

    What I did while migrating from the ASG220 to the new box ... I put a HP Procurve 1810 in between my Uplinks and my Astaro Boxes because I want to set up HA ( Active Passive ) and guess what, on the 1810 there were two Features enabled "Auto DoS" && "Storm Control". If you disable them all my tunnel come up immediately. But don´t ask me why this shit 1810 is dropping IPSec Packages when you enable DoS or Stom Control.

    damn HP box ...

    Thanks a lot d12fk!

    Regards

    Buxus