How to Verify Traffic is Using the IPSec Tunnel

How else would the traffic get to its destination?

Cheers - Bob

Yes you're right. I just need to make sure that traffic is going through the tunnel. I have a situation where the hosts that are sending data through the tunnel appear to do so, but when I do a tcpdump on the tunnel host address it looks like its being sent out through a different gateway.

Tunnel peer is 1.1.1.1/32, gateway 1.1.1.2
Tunnel host is 1.1.1.3/32

Other side of tunnel peer is 2.2.2.1/32
Other side of tunnel host is 2.2.2.2/32

I created a policy route that so that when IPs sitting on the lan behind the subnet 1.1.1.0/24 want to send traffic to 2.2.2.2, the traffic should go out of the interface 1.1.1.3 (eth6)

When I do a dump of traffic (tcpdump -i eth6 host -nnv 2.2.2.2), I can see the traffic going to the gateway and getting lost:

tcpdump -i eth6 host -nnv 2.2.2.2
tcpdump: listening on eth6, link-type EN10MB (Ethernet), capture size 96 bytes
^[18:54:35.274152 arp who-has 2.2.2.2 tell 1.1.1.3
18:54:35.274815 arp reply 2.2.2.2 is-at A:A:A:F

And A:A:A:F happens to be the mac address of 1.1.1.2 the ISP gateway.

I just would like to trace the traffic to know where exactly its all going, and if it reaches the tunnel at all.

Hi,

With TCPDump, you should be able to see the traffic on the Internal interfaces on each end, but the external interfaces should only show encrypted IPSEC traffic.

I'm not sure why you're seeing ARP traffic for remote networks; perhaps you have a configuration problem.

I don't really know what you mean by Tunnel Peer and Tunnel Host; perhaps a diagram would be helpful.

Barry

Hi,

and thanks for responding.
I think I'm close to my wits' end... :-)
I hope this helps.. this is what I see when I run ipsec status for that tunnel:
 1.1.1.3/32===1.1.1.1[1.1.1.1]...2.2.2.1[2.2.2.1]===2.2.2.0/24; 

My gateway is 1.1.1.1 (eth1), and my local network is 1.1.1.3 (eth6), both are interfaces on the same ASG220 device.
The other guy's remote gateway is 2.2.2.1, and their remote network is 2.2.2.0/24.
I am trying to reach a node on their remote network (2.2.2.2), from an IP address on my LAN, which is 10.11.0.33.

Currently I have deleted the policy route i created before, I noticed I had a similar VPN and all I did was a SNAT to get it working. I replicated this SNAT for my new VPN but I am still getting the same results (timeouts).
After deleting the policy route, I no longer see traffic on eth6/1.1.1.3 in my tcpdumps for that host (2.2.2.2).

I really suspect that there is something wrong at the other side (they claim its a Juniper device in the VPN form, but it looks like a Cisco device during my talks with the other admin). 
I would just love to be able to prove that they are dropping the traffic somewhere.

Please press the [Go Advanced] button below and attach a picture of the expanded 'Site-to-site VPN tunnel status' showing all of the content for this tunnel.  When obfuscating IPs, hide the middle octets (like 41.X.Y.71 and 10.Y.Z.33) instead of showing totally fake IPs.

Cheers - Bob