Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 46249 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site IPSEC to PFsense

Seranfall
I have an ASG v8 with a public IP on the WAN and private on the LAN using NAT.
I'm connecting to a pfsense 2.0 that has a public IP on the WAN side and private on the LAN using NAT.

I am able to get IPsec phase 1 and 2 to work.
Pfsense shows ICMP going to the ASG.
If I enable a No NAT rule and log the initial packets on the ASG I can see that the traffic is getting to the ASG. At least NAT sees traffic that has 10.101.0.0/16 network which is the local network on the pfsense lan side.

While I can see some icmp make it through the tunnel where atleast ASG sees it I can't actually get any traffic to flow. The ICMP always fails when I ping from a device on the LAN from either the ASG side or Pfsense side.
Also when I try any other traffic besides ICMP I see no indication at all in any of the logs that it is making it to the ASG.

Pfsense has an allow all for IPSec. On ASG I'm just using the auto firewall rules created by IPsec.

Any ideas here? I've tried everything I can think of and no where do I get anything telling me its dropping traffic even when I'm logging everything I can find. All I see is a bit of ICMP, but even that isn't fully working.


This thread was automatically locked due to age.
Parents
  • 0
    I was able to get this resolved. 
    So evidently when the school firewall admin tells you all the ports and open, that doesn't mean anything. I had to have our server admin update the firewall because our firewall admin is super lazy. Magic! once protocol 50 wasn't being blocked everything worked.

    Now I am having some issues where my firewall rules don't appear to be affecting vpn traffic. Haven't had much time to research it yet, but from what I've learned of iptables my rules should be getting processed before traffic enters the tunnel or after it exists the tunnel. That just doesn't seem to be the behavior I'm getting though. 

    Anyone have a few good resources for vpn and iptables they can point me to?
Reply
  • 0
    I was able to get this resolved. 
    So evidently when the school firewall admin tells you all the ports and open, that doesn't mean anything. I had to have our server admin update the firewall because our firewall admin is super lazy. Magic! once protocol 50 wasn't being blocked everything worked.

    Now I am having some issues where my firewall rules don't appear to be affecting vpn traffic. Haven't had much time to research it yet, but from what I've learned of iptables my rules should be getting processed before traffic enters the tunnel or after it exists the tunnel. That just doesn't seem to be the behavior I'm getting though. 

    Anyone have a few good resources for vpn and iptables they can point me to?
Children
No Data
Unfiltered HTML