Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 10465 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to Verify Traffic is Using the IPSec Tunnel

notify.sina
Hi!

I am using a Sophos UTM ASG220 and I wonder if it is possible to view the traffic that is passing through an IPSec tunnel to make sure it is going where its' supposed to.

Please is this possible?

Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    How else would the traffic get to its destination?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Yes you're right. I just need to make sure that traffic is going through the tunnel. I have a situation where the hosts that are sending data through the tunnel appear to do so, but when I do a tcpdump on the tunnel host address it looks like its being sent out through a different gateway.

    Tunnel peer is 1.1.1.1/32, gateway 1.1.1.2
    Tunnel host is 1.1.1.3/32

    Other side of tunnel peer is 2.2.2.1/32
    Other side of tunnel host is 2.2.2.2/32

    I created a policy route that so that when IPs sitting on the lan behind the subnet 1.1.1.0/24 want to send traffic to 2.2.2.2, the traffic should go out of the interface 1.1.1.3 (eth6)

    When I do a dump of traffic (tcpdump -i eth6 host -nnv 2.2.2.2), I can see the traffic going to the gateway and getting lost:

    tcpdump -i eth6 host -nnv 2.2.2.2
    tcpdump: listening on eth6, link-type EN10MB (Ethernet), capture size 96 bytes
    ^[18:54:35.274152 arp who-has 2.2.2.2 tell 1.1.1.3
    18:54:35.274815 arp reply 2.2.2.2 is-at A:A:A:F

    And A:A:A:F happens to be the mac address of 1.1.1.2 the ISP gateway.

    I just would like to trace the traffic to know where exactly its all going, and if it reaches the tunnel at all.
Reply
  • 0 in reply to BAlfson
    Yes you're right. I just need to make sure that traffic is going through the tunnel. I have a situation where the hosts that are sending data through the tunnel appear to do so, but when I do a tcpdump on the tunnel host address it looks like its being sent out through a different gateway.

    Tunnel peer is 1.1.1.1/32, gateway 1.1.1.2
    Tunnel host is 1.1.1.3/32

    Other side of tunnel peer is 2.2.2.1/32
    Other side of tunnel host is 2.2.2.2/32

    I created a policy route that so that when IPs sitting on the lan behind the subnet 1.1.1.0/24 want to send traffic to 2.2.2.2, the traffic should go out of the interface 1.1.1.3 (eth6)

    When I do a dump of traffic (tcpdump -i eth6 host -nnv 2.2.2.2), I can see the traffic going to the gateway and getting lost:

    tcpdump -i eth6 host -nnv 2.2.2.2
    tcpdump: listening on eth6, link-type EN10MB (Ethernet), capture size 96 bytes
    ^[18:54:35.274152 arp who-has 2.2.2.2 tell 1.1.1.3
    18:54:35.274815 arp reply 2.2.2.2 is-at A:A:A:F

    And A:A:A:F happens to be the mac address of 1.1.1.2 the ISP gateway.

    I just would like to trace the traffic to know where exactly its all going, and if it reaches the tunnel at all.
Children
No Data
Unfiltered HTML