IPSEC VPN - Do i need to add a route?

Hi, Astaro will take care of the routing automatically, but I'm not sure about the Billion.

Did you add packetfilter rules to Astaro, or use the 'auto packetfilter rule' on the VPN?

Also note that PINGs are normally allowed by checking the ICMP settings tab next to the PacketFilter page.

Barry

Hi Barry,

Thanks for the reply.

I have checked the 'auto packetfilter rule' on the VPN and enabled ICMP on and through the firewall.

Watching the packet filter log I notice that when ever I try to access the remote network the packetfilter is dropping the packets destined via port 51.

Default DROP  51 203.***.***.***  → 124.***.***.***  

Any ideas?

Hi, Rols, and welcome to the User BB!

You shouldn't have that in the PF log.  Please show pics of the 'IPsec Connection' and the 'Remote Gateway' definition.  Also, a pic of the 'Site-to-site VPN tunnel status'.

Cheers - Bob

If I try to ping or access the remote network the PF drops the packets

Please show the lines from the full PF log.  The live log doesn't give much information.

Pinging is not controlled with Packet Filter rules, rather by settings on the 'ICMP'tab of 'Network Security >> Packet Filter'.

Cheers - Bob

Ok here is an extract from the log. It seems like the PF is dropping the packets because of firewall rule 60003? 

2011:05:11-01:08:16 astaro ulogd[4476]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="ppp0" srcmac="0:0:xx:xx:xx:xx" srcip="203.xx.xx.xx" dstip="124.xx.xx.xx" proto="51" length="144" tos="0x00" prec="0x00" ttl="64" 
2011:05:11-01:08:19 astaro ulogd[4476]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="ppp0" srcmac="0:0:xx:xx:xx:xx" srcip="203.xx.xx.xx" dstip="124.xx.xx.xx" proto="51" length="144" tos="0x00" prec="0x00" ttl="64" 
2011:05:11-01:08:25 astaro ulogd[4476]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="ppp0" srcmac="0:0:xx:xx:xx:xx" srcip="203.xx.xx.xx" dstip="124.xx.xx.xx" proto="51" length="144" tos="0x00" prec="0x00" ttl="64"

Ok well today I tried using another ASG in place of the Billion router just to test - the IPSEC tunnel came up & I was able to route traffic between the two networks just fine.

So I guess the problem has something to do with the Billion router - even though its clear that the ASG is dropping packets when the tunnel is up........very strange.

Any thoughts?

=================================
Side question - now that I know I can get IPSEC working how do I filter packets between the two networks? For example if I wanted only a few specific ports to be opened between the networks where do I set the rules? I tried adding some rules to the PF but they seem to get ignored.

Maybe I should start a new thread......

Thanks for everyone's input so far -> Bob/Barry [:)]

Side question - now that I know I can get IPSEC working how do I filter packets between the two networks? For example if I wanted only a few specific ports to be opened between the networks where do I set the rules? I tried adding some rules to the PF but they seem to get ignored.

Edit your IPSec connection and uncheck Auto Packet Filter. Then create manual packet filter rules for the specific traffic you want to allow.

Thanks dilandau - Thats working a great!

As for the Astaro & Billion IPSEC issue does anyone have any ideas why the ASG PF would be dropping packets (rule 60003)?

I still need to get the ASG & Billion working together.

Cheers

Do you have IPS enabled, are there any entries in the log?