Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 49340 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site IPSEC to PFsense

Seranfall
I have an ASG v8 with a public IP on the WAN and private on the LAN using NAT.
I'm connecting to a pfsense 2.0 that has a public IP on the WAN side and private on the LAN using NAT.

I am able to get IPsec phase 1 and 2 to work.
Pfsense shows ICMP going to the ASG.
If I enable a No NAT rule and log the initial packets on the ASG I can see that the traffic is getting to the ASG. At least NAT sees traffic that has 10.101.0.0/16 network which is the local network on the pfsense lan side.

While I can see some icmp make it through the tunnel where atleast ASG sees it I can't actually get any traffic to flow. The ICMP always fails when I ping from a device on the LAN from either the ASG side or Pfsense side.
Also when I try any other traffic besides ICMP I see no indication at all in any of the logs that it is making it to the ASG.

Pfsense has an allow all for IPSec. On ASG I'm just using the auto firewall rules created by IPsec.

Any ideas here? I've tried everything I can think of and no where do I get anything telling me its dropping traffic even when I'm logging everything I can find. All I see is a bit of ICMP, but even that isn't fully working.


This thread was automatically locked due to age.
Parents
  • 0
    Hi, seranfall, and welcome to the User BB!

    Let's start with some actual data - how about a picture of the 'Site-to-site VPN tunnel status'?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I'm at home right now so I don't have access to pfsense to get screenshots from here.

    As stated before the tunnel is up. Both sides show the tunnel up. On the pfsense side I see the SAD and SPD entries and they are correct. I see traffic from pfsense get to astaro over the tunnel, but astaro never returns traffic.

    Also the only traffic that seems to show anything is ICMP. When I generate other traffic I see no indication of it in the logs on either side.
    On the pfsense side I have a permit any/any rule for ipsec in the firewall rules.
  • 0 in reply to Seranfall
    Another piece of information that may be important.
    pfsense has a GRE tunnel to another location as well as a remote access PPTP vpn configured.

    Will either of those impact the IPSEC?

    I'm very familiar with networking and pretty familiar with VPN. I'm use to using Cisco routers or ASA's to do this stuff and have never really run into problems like this.

    A major problem I've had with both pfsense and Astaro is visibility. The logging hardly ever shows anything in relation to the problems I'm having. It's been a real struggle just to try and see what is going on with the traffic.
Reply
  • 0 in reply to Seranfall
    Another piece of information that may be important.
    pfsense has a GRE tunnel to another location as well as a remote access PPTP vpn configured.

    Will either of those impact the IPSEC?

    I'm very familiar with networking and pretty familiar with VPN. I'm use to using Cisco routers or ASA's to do this stuff and have never really run into problems like this.

    A major problem I've had with both pfsense and Astaro is visibility. The logging hardly ever shows anything in relation to the problems I'm having. It's been a real struggle just to try and see what is going on with the traffic.
Children
No Data
Unfiltered HTML