No Connection through an Site2Site tunnel with IPSec

Good Morning,

i set up an IPSec Tunnel between two SG230 a year ago.
Since 4 days now, the tunnel is still established, there is no traffic going through the tunnel. Everything looks good so far until i try to geht access to the other network.
In the log of the firewall, i see the allowed packages (From the sIte where i start the request).
I already set up a new one with automatic firewall rules on both sites, but got still the same problem.

Both Device has the Firmware: .9707-5

Parents
  • Hallo Nico,

    Do you see anything blocked in the firewall log?  Anything different in the IPsec log compared to a week prior?

    If the name of the IPsec Connection at your site is "Munich"

         cc get_object_by_name ipsec_connection site_to_site 'Munich'|grep \'ref

    That should give something like REF_IpsSitMunich.  Watch the traffic in the tunnel with:

        espdump -n --conn REF_IpsSitMunich -vv

    Cheers - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hello Balfson Slight smile

    Nop everything is fine. This is so damn strange right now. 

    I did it and in the cli, i see outgoing the packages. On Both Sides. But no incomming package. 

  • Strange...

    And you watched with espdump instead of tcpdump?  Did you try disable/enable of the IPsec Connection on both sides?  Did you try rebooting both UTMs?

    Cheers - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • yeah sure :) watched the espdumps on both sides. I already delete the whole configuration and recreate it. I made failover on both sides (n active - passiv)

  • Hi,

    gibt es irgendwelche Geräte mit Paketfilter oder anderen Sicherheitsfunktionen zwischen den Firewalls?

    Ich denke hier an providerrouter / FritzBox usw.

    Sind öffentliche IP's direkt an die SG gebunden, oder gibt es ein port-Forwarding?


    Dirk

    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Auf usnerer Seite direkt an der SG. Auf der anderen Seite hängt ein Cisco Router dazwischen auf desen Konfi nur der Provider selbst zugriff hat. Der sagt natürlich das dort nichts geblockt oder gefiltert wird Disappointed

  • Guck mal mit TCPDUMP an den beiden Firewalls nach IPSec paketen am externen Interface. da sollte (selten) UDP500 und ständig UDP4500 ein und ausgehen...

    Vor-Filtern kann man den Dump mit der IP der Gegenseite ...


    Dirk

    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Manchmal ist es doch einfacher als gedacht...
    NAT-T war auf einer der FW noch nie aktiv. Nach dem anschalten waren der Tunnel auch wieder nutzbar

Reply Children
No Data