This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site IPSEC to PFsense

I have an ASG v8 with a public IP on the WAN and private on the LAN using NAT.
I'm connecting to a pfsense 2.0 that has a public IP on the WAN side and private on the LAN using NAT.

I am able to get IPsec phase 1 and 2 to work.
Pfsense shows ICMP going to the ASG.
If I enable a No NAT rule and log the initial packets on the ASG I can see that the traffic is getting to the ASG. At least NAT sees traffic that has 10.101.0.0/16 network which is the local network on the pfsense lan side.

While I can see some icmp make it through the tunnel where atleast ASG sees it I can't actually get any traffic to flow. The ICMP always fails when I ping from a device on the LAN from either the ASG side or Pfsense side.
Also when I try any other traffic besides ICMP I see no indication at all in any of the logs that it is making it to the ASG.

Pfsense has an allow all for IPSec. On ASG I'm just using the auto firewall rules created by IPsec.

Any ideas here? I've tried everything I can think of and no where do I get anything telling me its dropping traffic even when I'm logging everything I can find. All I see is a bit of ICMP, but even that isn't fully working.


This thread was automatically locked due to age.
Parents
  • You are correct - that should be left blank if you don't have a NAT on the other end.  Are you sure there isn't something between the two devices that's blocking protocol 50 &/or 51?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Well I've made some progress on seeing what is going on.

    I have confirmed that pings from the pfsense side of the vpn make it to a server I have at my house that is on the astaro side of the vpn.

    So traffic is making it through the tunnel. Wireshark on the server showed the incoming ping and the server sent a ping response. 

    The traffic coming from the LAN on the Astaro side is not making it back to pfsense.

    Yet, I'm not seeing anything on Astaro saying its dropping it. Now if I could just confirm where it is dropping.
  • At least today was somewhat productive. I have a much better understanding of what traffic is doing after finally using tcpdump and a few other things. While I've always liked both pfsense and Astaro I'd kill for Cisco debug commands.

    I have confirmed that traffic from the remote network (10.0.0.0/9) makes it to my local network (172.18.10.0/24). I have also confirmed that return traffic back to the remote network leaves inside the tunnel out eth0 on my Astaro box. 

    However, that traffic never arrives at the pfsense box at the remote network. I can see the two-way tunnel control traffic, but none of the data makes it to pfsense. Tcpdump running on pfsense shows outbound traffic in the tunnel, but sees nothing from my local LAN. 

    Any ideas on what could cause that behavior? Is it possible to block data carried by the tunnel, but not interfere with the IKE/IPsec control traffic?

    I see protocol 500 in both directions. I am only seeing outbound protocol 50 traffic. I'm at home so I can't check what tcpdump is showing from the pfsense side.
    I'll check into it tomorrow.

    Thanks for all your help.
Reply
  • At least today was somewhat productive. I have a much better understanding of what traffic is doing after finally using tcpdump and a few other things. While I've always liked both pfsense and Astaro I'd kill for Cisco debug commands.

    I have confirmed that traffic from the remote network (10.0.0.0/9) makes it to my local network (172.18.10.0/24). I have also confirmed that return traffic back to the remote network leaves inside the tunnel out eth0 on my Astaro box. 

    However, that traffic never arrives at the pfsense box at the remote network. I can see the two-way tunnel control traffic, but none of the data makes it to pfsense. Tcpdump running on pfsense shows outbound traffic in the tunnel, but sees nothing from my local LAN. 

    Any ideas on what could cause that behavior? Is it possible to block data carried by the tunnel, but not interfere with the IKE/IPsec control traffic?

    I see protocol 500 in both directions. I am only seeing outbound protocol 50 traffic. I'm at home so I can't check what tcpdump is showing from the pfsense side.
    I'll check into it tomorrow.

    Thanks for all your help.
Children
No Data