cancel
Showing results for 
Search instead for 
Did you mean: 
cancel
1532
Views
5
Helpful
52
Replies

Tunnel IPSEC (UP-ACTIVE) But No Traffic (ping)

Thomas27100
Level 1
Level 1

Bonjour à tous,

Je suis actuellement en train de configurer un VPN IPSec entre un routeur Cisco et un routeur Bintec, et je rencontre un problème que je n'arrive pas à résoudre seul.

Le tunnel VPN semble fonctionner correctement, il est bien affiché comme "UP-Active" des deux côtés. Cependant, le trafic ne passe pas, et je ne parviens pas à effectuer de ping entre les deux sous-réseaux :

  • Lorsque j'essaie de pinguer depuis le sous-réseau du site Bintec vers le sous-réseau Cisco, le ping échoue (il s'envoie j'ai le résultat mais surement pas de réponse).
  • Le ping dans l'autre sens (du sous-réseau Cisco vers le sous-réseau Bintec) échoue simplement.

J'ai quelques soupçons que cela pourrait être lié à une configuration NAT, mais je n'en suis pas certain. Voici ce que j'ai vérifié jusqu'à présent :

  • Les routes semblent correctement configurées sur les deux routeurs.
  • Les ACLs/IPsec policies sont en place et semblent correctes.
  • J'ai vérifié les règles NAT, et a priori, elles ne devraient pas bloquer le trafic.
  • Le tunnel VPN reste actif, donc le problème ne semble pas venir de l'IPSec lui-même.

Je sollicite l'avis de la communauté pour m'aider à diagnostiquer ce problème. Est-ce que quelqu'un pourrait m'apporter son expertise ou des pistes supplémentaires pour avancer vers une solution ?

Merci beaucoup pour votre aide !

52 Replies 52

Sure I will share some filter to see if VPN traffic is NATing or not

MHM

Alright, I'll wait then. Thank you!

this for you

R1 LAN 10.0.0.0 
R2 LAN 20.0.0.0
there is VPN IPsec between two router and this encrypt the traffic between 10.0.0.0 and 20.0.0.0
in same time there is NAT overload config in R1 to NATing any 10.0.0.0 to interface f0/0
I use 
debug ip nat 10<<- 10 is standard acl permit 10.0.0.0/24
show ip nat translations icmp verbose 
to see if encrypt traffic is NAT or NOT and you can see it NAT 
then you can use global IP appear in show ip nat translat icmp verbose to know which NAT line effect your traffic 

Screenshot (743).png

Here is the result of the command after attempting to ping from the Bintec network to Cisco.

Thomas27100_0-1725544731240.png

In the other direction, I don't get anything more, which confirms that everything comes in fine, but nothing is going out.

 

Yes it NATing and Now we sure and since global IP 90.x.x.x you more sure it NATing 
NOW 
ping 100 times remote VPN LAN (use any PC connect to router)
show ip access-list <<- many times
see which ACL is increase the VPN ACL must increase and deny ACL of first NAT overload 
other ACL must not be show any hit 

MHM

I would like more details, as I'm afraid I haven't fully understood the procedure to follow, haha.

Thomas27100_0-1725546976369.png

Commande Show ip access-lists

ip route 0.0.0.0 0.0.0.0 90.X
ip route 0.0.0.0 0.0.0.0 77.X

only ACL 100 have match !!!!! that wrong are you sure the traffic pass through .90 no through .77 ?
MHM

To keep it simple, I removed the route to 77. The VPN stays up, and now only 90 remains.

Do show ip access-list again 

Check which of ACL get hit (matches)

MHM

Hi, I hope you're doing well.

Regarding the command, everything is still going through 100.

Thomas27100_0-1725606396339.png

 

ip access-list extended VPN <<- Are this ACL of IPsec?
 10 permit ip 192.168.X 0.0.0.255 192.168.100.0 0.0.0.255
 30 permit ip 192.168.X 0.0.0.255 192.168.100.0 0.0.0.255
 40 permit ip host 90X host 77X <<- WHAT IS THIS 

 MHM

 
It's nothing, I removed it. It was just a test for when things were working even worse.

and yes this ACL is for IPsec 

To keep it simple, I removed the route to 77. The VPN stays up, and now only 90 remains. <<- still only 90 is UP?

MHM