UTM cant communicate through tunnel

you will need firewall rules allowing traffic from one side to the other and vice versa. Without any rules (or automatic firewall rules) no traffic will ever flow through the tunnel.

Hi, if the routes do not seem right, that likely means you haven't defined the local and remote networks on each end correctly.

Barry

Thanks for your advice.

I've defined all local and remote networks in the IPSec tunnel and I do also allow traffic between the networks. One machine on one side can communicate with one on the other side of the tunnel. It is the firewall that doesn't send the requests through the tunnel. I can not use automatic firewall rules since I want to limit traffic. On both firewalls I have rules that allow LAN -> LAN & DMZ and DMZ -> DMZ. 

If I send a ping from the firewall to the remote network the ping is sent unencrypted on the wan interface to the default router instead of inside the tunnel. However, the firewall responds correctly when requests are sent through the tunnel. There is no block in the firewall and I can also see the ping that is transmitted to the default gateway of the firewall inside the switch.

In my old system I routed local generated traffic to remote networks through the tunnel's virutal interface but it seems like there is no virtual interface for the tunnel.

How do you usually solve this?

Do you have both the LAN and DMZ networks in respective local and remote networks and not typos in the subnets?
Usually the UTM is smart enough to route into the respective tunnel when these networks are defined as remote.

Do you have both the LAN and DMZ networks in respective local and remote networks and not typos in the subnets?
Usually the UTM is smart enough to route into the respective tunnel when these networks are defined as remote.

Yes, so all traffic is going correctly as long as the UTM is not sending the request. 

The UTM use the wan IP to communicate with the remote network. In the remote/local network I've not included the wan IP of the UTMs. Shall you include it and how do you do it if it is assigned by DHCP?

tcpdump on the wan network show both encrypted traffic between the networks and unencrypted traffic from the UTM to the remote network:
10:49:10.100361 MY.PUBLIC.IP.1 > MY.PRIVATE.IP.1: icmp: echo request (DF)
10:51:18.603432 esp MY.PUBLIC.IP.1 > MY.PUBLIC.IP.2 spi 0x94aa9333 seq 3551 len 1476 (DF) [tos 0x10]

ah, it's the UTM itself that cannot communicate over the tunnel. I have actually never tried that and for myself this doesn't make sense, because it's the systems protected by the UTM that need to communicate with other ends of tunnels.

I'm not sure if you actually should (or even want) to put the WAN IP's also in the tunnel.

Perhaps you could have the UTM send it's ping from it's own Internal interface instead of not selecting the interface.

Just checked this myself and had my UTM ping to a device behind a tunnel, with just PING IP the UTM selected an interface that wasn't part of the tunnel, with PING -I interface remote_IP the ping did go into the tunnel.

Yes, that works as it should.

The reason I want the UTM to be able to communicate through the tunnel is that I've got servers that I want the UTM to reach through the tunnel, such as mail, authentication etc.

The reason I want the UTM to be able to communicate through the tunnel is that I've got servers that I want the UTM to reach through the tunnel, such as mail, authentication etc. 

As BarryG and apijnappels both said, this will work fine if the tunnel is defined correctly.

Cheers - Bob

Now I found it. Strict Routing is prohibiting this. As soon as I disabled it everything was working. Thanks for your great support!