XGS <> NAT <> Internet <> UTM Site2Site IPSEC VPN

at which device `did you create the tcpdump?

Why we see 10.81.0.1 while you ping from 10.200.1.1 ... this is not included in tunnel and may be lost.

Do not ping from firewall. Use a device behind firewall and ping another "device" at the other end.

Self generated traffic (system-traffic) may be not handled like endpoint-traffic.

Thank you.

The XGS create the tcpdumps. 10.81.0.1 was a wrong screenshot. I change the picture.

Here are the client pings:

XGS=10.200.1.1/16
Laptop=10.200.5.1/16

UTM=10.1.1.2/16
Laptop=10.1.1.1/16

Ping from XGS Client to utm:

Ping from UTM-Client to XGS:

Hallo tom,

auf dem letzten Screenshot (unten - rechts) kommt das Paket aus dem IPSec Tunnel und geht auf einem physikalischen Interface raus.

Allerdings kommt keine Antwort. Kann die XGS das 10.200.5.1 pingen, oder antwortet das Gerät einfach nicht?

Auf dem oberen der neuen Screenshots sieht es komisch aus ... Das Paket geht nach "TUN0" nicht nach "ipsec0".

Die Kombination ipsec0 und tun0 ist ganz oben auch schon zu sehen. Da nehmen Pakete evtl. den falschen Weg.

Wie ist denn die Route-precedence eingestellt?

Hallo Dirk,

ja das physikalischen Interface ist Port1. Hier ist das Laptop aktuell direkt angeschlossen.

Die Firewall wurde gestern ausgepackt und alle Einstellungen noch auf default (Route-precedence). Leider habe ich aktuell keinen Zugriff mehr, so dass ich bis Montag warten muss.

Vor dem IPSec Tunnel habe ich es mit einem SSL-Site2Site-Tunnel versucht. Stammt TUN0 vielleicht noch aus der Config? Ich meine ich habe sie nur disabled aber nicht gelöscht.

Aus Verzweifelung habe ich gestern noch einen IPSEC Tunnel, von dieser neuen XGS, zu einer anderen bestehenden XGS testweise konfiguriert (Wizard). Die Bestands XGS hat ein anderes LAN Subnetz (192.168.1.0/24) damit klappt es sofort. Daher gehe ich davon aus, dass das Laptop ICMP Antwortpakete sendet.

Ich schicke Montag neue Infos. Danke für deine Zeit !!

Tom

Hi @Firewall-Tom, do you have sslvpn also configured on XGS? unless sslvpn (remote access or site2site) is configured, you should not be seeing packets on tun0 interface on xgs. If sslvpn is out of context, can you disable sslvpn and try pinging from xgs' client to utm' client?

Also, when you say this - is this the LAN side ip config on XGS? why the subnets are not matching on xgs side LAN and the laptop connected to XGS?

XGS=10.200.1.1/16
Laptop=10.200.5.1/16

Deactivation of Interfaces (or VPNs i think) didn't clear the routing tables at XGS.
Remove the not needed configuration or the "destination" definition.

Absolutely right, Dirk! You hit the nail on the head :-)

I deleted the SSL S2S config and everything works as expected. Thank you very much!!