Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 33 replies
  • Subscribers 0 subscribers
  • Views 24725 views
  • Users 0 members are here
Options
Suggested

[8.285][QUESTION][OPEN] RED : Presto you have a Tunnel ?

Vels
Site-to-Site VPN using RED Protocol
    We have added the ability to make tunnels between ASG devices using our much-heralded RED tunnel technology. This operates similarly to how site-site over SSL works;
        Login to the main site, go to the RED section, add a RED, and pick type "ASG".
        Download the provisioning file which is created
        Login to the remote site, go to the Client [Tunnel Management] tab in RED
        Add a tunnel, enter the hostname of the ASG and supply the provisioning file you downloaded.
        Presto, you'll have a tunnel!

        *Note: this will NOT turn your remote ASG into a RED terminal. It will still have a GUI and work like a normal Site-Site VPN does.
        *Note 2: We will likely move this feature into the VPN section in a future 8.3 Beta release.


All done - tunnel is up but no traffic thru it - just ping / pong.

Documentation on this is missing - so for someone trying out RED for the very first time in ASG to ASG this is far more confusing than site2site vpn - not much presto about it.

Could someone explain what the thoughts about ASG's as RED is? Are you suppose to add routes and firewall rules your self or ?
Basically this feature seems to be a little in the dark where you have to figure out how the developer put it together.

I really want to test this part in its full extent..
  • 0 in reply to BAlfson
    Bob .. The Site2Site was disabled when I last played with it also... so I "think" it must have been old routes or something disturbing the picture.

    I believe you need OSPF because in the ASG as RED ( hereforth ASGaR ;-) ) does not leave you the option to define split network or dns. It will just create an encrypted tunnel, not in any way being on top of the routes to it.

    Anyhow.. next stop will be to get Netbios to work thru this and network neighborhood discovery. That would be the accounting gals happy. This part is not working but is green in the PF.

    Cheers
  • 0
    OK, I see that it's more automated now.  Still, if I remember how it worked before, I'm surprised that you need anything other than packet filter rules.  I would expect that your remote Astaro would know from the 'Provisioning file' what subnets to route through the ASGaR tunnel, and that the ASG 220 in the office would know the subnet in your home via the Interface definition for the RED tunnel.  I don't remember configuring an Interface in the remote Astaro.

    But, like I said, it's been awhile.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Bob I think we will see that in a future version perhaps - but for now the "new RED of type ASG" does not give you the option to define subnets at all.

    Let me show you the difference (notice Client Type in the screens) - see attached.
  • 0
    Yes, but have you defined an Interface using the RED tunnel in the ASG 220?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Yes - with some random static IP in the same subnet as the RED interface on the other ASG - simular configured.
  • 0
    Have you tried defining it with the IP of the "Internal (Address)" of your home Astaro?  I don't remember defining a RED Interface in the remote Astaro.

    Cheers - Bob
    PS The way I remember it was [Office networks][Remote "Internal (Network)"], and then the Firewall rules in the Office Astaro determined what traffic was allowed between the networks.  I don't understand why it would be more complicated now.
    PPS Then again, maybe the solution now is to setup the remote Astaro with the RED "NIC" bridged to the NIC of the Internal network.  I don't know how it's done today - I played with this last year.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    No - or rather can't remember anymore.

    But I just did - no ping or traffic thru the tunnel.
    Tried disabling the RED interfaces - no traffic.

    Tried enabling slave RED interface - no traffic

    Tried both in masters client lan without OSPF - no traffic

    Tried both in master client lan with OSPF - No traffic

    Changed back again, and after a little while it works again. Seems almost likes it uses a transfer network to route over.

    I just wish there was a guide telling what is needed and what is not... this is beginning to feel like finding a needle in a haystack rather than trying it out and testing the performance and stability of the technology.
  • 0
    You have to threat the RED Tunnel as a cable beetween two routers. You have to setup the Interface ob each Side.


    I am needed the static routes, because ospf Set a Route to the external ip through the Tunnel. then the Tunnel dies.

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0
    Right now, you have a separate Interface definition defined for the RED "NIC" in your home Astaro - right?  I think that's the reason you need a transfer network.

    I think you only need three things for everything to work after the RED tunnel is established:
    - In the ASG 220, define the interface for the RED to have the same definition as your home Internal network.
    - In your home ASG, delete the Interface defined for the RED "NIC" and then bridge the RED "NIC" to your Internal interface.
    - In the ASG 220, create firewall rules to allow desired traffic.

    Check out: https://support.astaro.com/support/images/3/33/Red_technology.pdf

    I believe you can do it the other way, too - but I'm lazy! [;)]

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Thanks - both of you.

    Now I believe I understand the magic of RED - secret must be the bridge that can reach the tunnel without actually routing.

    There is one major flaw to this though.

    I am a huge fan of VLAN interfaces, it separates most of my infrastructure down to switch level being able to assign VMWare machines to different VLAN's and different servers in the rack based on switch port.

    Astaro does not ( in the GUI ) support selection of VLAN interface as bridge / convert interface. In fact, it doesn't even appear in the list.

    This "could" be solved if I create an intertace on the psysical nic hosting the VLAN's, but as far as I can recall this is not best practise. Second option must be to create a new psysical nic and assign the same VLAN's to that and then use that interface as convert interface...

    Sigh.. this makes the "real" use of RED technology pretty much useless to me unless there is another way ?

    See this for reference : https://community.sophos.com/products/unified-threat-management/astaroorg/f/98/t/68257

    Not a bug, but still not addressed for all of us running 25+ VLAN subnets on a 8 port ASG220 ..
Unfiltered HTML