Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 5281 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec VPN problems

millennia
Hi, I have the VMware appliance on 7.511 and I am having trouble with IPSec VPNs.

The VPN configures no problem and the tunnel appears UP, but when I try and ping from the remote location to the Astaro protected network there is no response. However if I leave the remote ping running, go to the target network and ping back along the tunnel (which works without the loss of a single packet), when I log back on the remote site the pings are then running fine.

The tunnel is then fine until it drops again after a period of no use, at which point I cannot use it from the remote site until I once again ping from the target site back down the tunnel.

It almost seems like the initial ping is being blocked by a firewall and not bringing the tunnel fully up, but then why does it suddenly spring to life when a ping in the reverse direction is done?

This occurs on both of two VPNs I want to use, one from a Draytek router and one from a SonicWall NSA firewall. Neither have ever shown any problems with VPNs before.

Regards,
John


This thread was automatically locked due to age.
Parents
  • 0
    This should work perfectly with 7.511, but 8.203 should also be fine.  I've been doing the 8.3 beta, and you can upgrade to that as soon as it's available.

    The first places to look when something unexpected occurs is in the Packet Filter (Firewall) and the Intrusion Prevention logfiles.  Anything unusual in either one?

    Cheers - Bob
  • 0 in reply to BAlfson
    There is nothing in the logs that would indicate a problem, Bob. I would have expected a default drop entry if there was an issue with the packet filter. Perhaps after the upgrade if the problem is still there I can turn off the auto firewall rules and then add them manually. That way I can then tell which rules are being hit.

    I did note from another thread that somebody had a VPN issue when the NICs were set to flexible type in the VM device, and when they used E1000 the issues completely went away. You couldn't update this in the 7.5 device, but the 8.2 device is VMware hardware level 7, and this allows me to add E1000 NICs in place of the flexible ones. Therefore I've done this in the replacement device and recovered a 7.511 backup to it.

    One other thing I noted that the download said ESXv3 for 7.5, but the 8.2 download is ESXv4 only - perhaps the appliance wasn't fully compatible with VMware ESX versions after 3.5?

    Seems to have worked, but I have yet to swap them over and see if the new one does indeed work with the recovered config, and then if it still shows the same VPN issue - hope not [:(]
  • 0 in reply to millennia
    ... and the answer is - exactly the same [:(]

    I left the VPNs from the remote sites running with a ping when I took the old firewall down. When I brought up the replacement v8 firewall the tunnels came back up according to the display, but the pings were still no longer returned.

    No issues shown in the logs as usual.

    Logged on to a server protected by the Astaro and pinged to the remote site - ping returned immediately.

    Connected back to server at remote site and now pings running and I could map drives between sites!!!!

    Tried removing auto firewall setting from VPN but this made things worse, could ping but could not connect in any other way between networks even when I added an allow any rule between the two VPN protected networks. Switched auto firewall rule back on and all OK again, but still get issue that I cannot initiate a connection between servers from the remote site to the central one, only the other way around.

    This is useless as the entire point of these VPNs is remote access !!!!

    I need to get this sorted out as it's doing my head in now.

    John
Reply
  • 0 in reply to millennia
    ... and the answer is - exactly the same [:(]

    I left the VPNs from the remote sites running with a ping when I took the old firewall down. When I brought up the replacement v8 firewall the tunnels came back up according to the display, but the pings were still no longer returned.

    No issues shown in the logs as usual.

    Logged on to a server protected by the Astaro and pinged to the remote site - ping returned immediately.

    Connected back to server at remote site and now pings running and I could map drives between sites!!!!

    Tried removing auto firewall setting from VPN but this made things worse, could ping but could not connect in any other way between networks even when I added an allow any rule between the two VPN protected networks. Switched auto firewall rule back on and all OK again, but still get issue that I cannot initiate a connection between servers from the remote site to the central one, only the other way around.

    This is useless as the entire point of these VPNs is remote access !!!!

    I need to get this sorted out as it's doing my head in now.

    John
Children
  • 0 in reply to millennia
    After a heck of a lot messing about I finally think I've nailed it. It seems a hardware firewall in the middle of the connection (which should just have been acting as a router) was blocking ESP inbound (but not out).

    It seems this stopped the initial packet to bring the VPN fully up when an external call was made, but the internal call was not blocked so it worked. Because it was passing IKE and GRE the actual tunnel reported as up, it was just actual data transmission that was blocked from one end. It is weird though that once data was sent outside from the internal server then data could travel both ways, at least until the tunnel renegotiated.

    Of course none of this was logged, I just had to find out by trial and error. [8-)]