Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 5281 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec VPN problems

millennia
Hi, I have the VMware appliance on 7.511 and I am having trouble with IPSec VPNs.

The VPN configures no problem and the tunnel appears UP, but when I try and ping from the remote location to the Astaro protected network there is no response. However if I leave the remote ping running, go to the target network and ping back along the tunnel (which works without the loss of a single packet), when I log back on the remote site the pings are then running fine.

The tunnel is then fine until it drops again after a period of no use, at which point I cannot use it from the remote site until I once again ping from the target site back down the tunnel.

It almost seems like the initial ping is being blocked by a firewall and not bringing the tunnel fully up, but then why does it suddenly spring to life when a ping in the reverse direction is done?

This occurs on both of two VPNs I want to use, one from a Draytek router and one from a SonicWall NSA firewall. Neither have ever shown any problems with VPNs before.

Regards,
John


This thread was automatically locked due to age.
Parents
  • 0
    Hi, John, and welcome to the User BB!

    Please [Go Advanced] below and show a pic of editing the Remote Gateway definition.  Also, please confirm that you have NAT-Traversal and Keep Alive enabled on the 'Advanced' tab.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,
    I've tried it with NAT-T on and off, and the keepalive on the Astaro can't be disabled, you can only set the timeout limit, which defaults to 60 seconds.

    It's very weird that for connection going out from the Astaro the tunnel is immediately available, but for incoming ones it appears to be blocked until cleared by an outgoing ping.

    Astaro.jpg
Reply
  • 0 in reply to BAlfson
    Hi Bob,
    I've tried it with NAT-T on and off, and the keepalive on the Astaro can't be disabled, you can only set the timeout limit, which defaults to 60 seconds.

    It's very weird that for connection going out from the Astaro the tunnel is immediately available, but for incoming ones it appears to be blocked until cleared by an outgoing ping.

    Astaro.jpg
Children
  • 0 in reply to millennia
    I notice version 8.202 is available for download - I'm wondering if I create an appliance with this and load the latest backup from my existing one to see if it works before proceeding any further trying to diagnose this problem?

    At least then I know I'm on the latest software.

    John