Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 4587 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Stange ssh problem over IPsec Site to Site VPN

Robein
Hello,

I am trying to solve a strange problem we are having on our VPN connection.
Situation is as folowing:

One Astaro 8.203 Appliance on site A
One Astaro 8.301 installed on PC on site B
IPSec Site to site VPN between A and B configured with an AES-256 PFS policy and automatic Firewall Rules enabled.

Problem we are having is when we start a putty ssh session from site B to site A and try to execute a ls -l in the root or cat a file the session hangs and never returns the prompt.
Same when i try to start a winscp session. Authentication works fine but timeout when getting directory listing.

But when i execute a ls -l in the users home directory it succeeds (only a few files.)
A connection via CIFS (windows file sharing) also succeeds but i get slow file transfer speed. (200-400 KBps on a 20 MBit up and download)
Ping requests with large packets also work fine.

We have tested if the MTU size could be the problem but according to a fellow admin it shouldn't.

Does anyone have an idea?
Greetings Rudy


This thread was automatically locked due to age.
Parents
  • 0
    Hi, Rudy, and welcome to the User BB!

    In the Remote Gateway definitions on both sides, in the '+ Advanced' sections, have you selected 'Support Path MTU discovery'?  Does that solve it?

    If not, then if you have connectivity, then I can't think of any other adjustment except trying, on each side how things work with the interface set to 100Mb Half- and Full-Duplex.  That's a total of eight tests: 100MbHD to Automatic, 100MbFD to Automatic, 100MbHD to 100MbHD, 100MbFD to 100MbHD, 100MbHD to 100MbFD, 100MbFD to 100MbFD, Automatic to 100MbFD, Automatic to 100MbFD.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    Thank you for helping.
    Enabeling the 'Support Path MTU discovery' option did not seem to work.
    But after changing the MTU on the SSH server to 1300 the problem seemed to be solved. [:S]

    Is there a way not to have to change the MTU of the external interface?
    Maybe by using another VPN type? Or changing another setting in the VPN server?

    Greetings Rudy
Reply
  • 0 in reply to BAlfson
    Hi Bob,

    Thank you for helping.
    Enabeling the 'Support Path MTU discovery' option did not seem to work.
    But after changing the MTU on the SSH server to 1300 the problem seemed to be solved. [:S]

    Is there a way not to have to change the MTU of the external interface?
    Maybe by using another VPN type? Or changing another setting in the VPN server?

    Greetings Rudy
Children
No Data