Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 10949 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec tunnel - trafic not going through

ser_user
I have UTM with private addresses on both interfaces. There is a router in front of the UTM. I have setup IPSec vpn tunnel between UTM (my side A) and another device about 10 days ago. It has been working until two days ago when traffic stopped going throug tunnel. The tunnel on UTM is green (operational), but traffic can't pass through tunnel anymore. I tried tracert from my internal network, it reaches UTM internal interfaces and no information after that. The same with tracert from UTM. 
In order to test IPsec , I setup ipsec tunnel between my utm A and UTM B. It won't establish until I setup VPN ID optional (I inserted ip address (private) of external interface of my UTM A. After that the tunnel established properly, and every traffic can pass through tunnel. So the tunnel with UTM is working properly. 
I checked routes and see there is a route for second tunnel (which is operational and working) that goes through ipsec tunnel.
But I can't see any route related to first tunnel (I have problem with)....

Has anyone some idea about that?


This thread was automatically locked due to age.
  • 0
    I'm still strugling with this but I have new information. 
    1. When I test UTM A - UTM B tunnel (which works properly) I can ping remote internal network from UTM A but I can't see anything with  tcpdump -nv -i eth1 -s0 esp.
    2. When I test first tunnel (that I have trouble with) and try to ping remote internal network, I can't ping from UTM but can see traffic with  tcpdump -nv -i eth1 -s0 esp. 
    It is very strange....

    .
  • 0
    eth1 is which interface?

    Barry
  • 0
    eth1 is external interface of the UTM
  • 0 in reply to ser_user
    two words

    Replay Protection

    strongSwan IPSec only plays nice with other StrongSwan based end points due to the way they implement anti replay protection.

    You can try turning it on at then non UTM side of the tunnel. The UTM does zero logging of replay protection status. If it kicks in, the tunnel stays up but will not pass traffic.
Unfiltered HTML