Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 33 replies
  • Subscribers 0 subscribers
  • Views 24737 views
  • Users 0 members are here
Options
Suggested

[8.285][QUESTION][OPEN] RED : Presto you have a Tunnel ?

Vels
Site-to-Site VPN using RED Protocol
    We have added the ability to make tunnels between ASG devices using our much-heralded RED tunnel technology. This operates similarly to how site-site over SSL works;
        Login to the main site, go to the RED section, add a RED, and pick type "ASG".
        Download the provisioning file which is created
        Login to the remote site, go to the Client [Tunnel Management] tab in RED
        Add a tunnel, enter the hostname of the ASG and supply the provisioning file you downloaded.
        Presto, you'll have a tunnel!

        *Note: this will NOT turn your remote ASG into a RED terminal. It will still have a GUI and work like a normal Site-Site VPN does.
        *Note 2: We will likely move this feature into the VPN section in a future 8.3 Beta release.


All done - tunnel is up but no traffic thru it - just ping / pong.

Documentation on this is missing - so for someone trying out RED for the very first time in ASG to ASG this is far more confusing than site2site vpn - not much presto about it.

Could someone explain what the thoughts about ASG's as RED is? Are you suppose to add routes and firewall rules your self or ?
Basically this feature seems to be a little in the dark where you have to figure out how the developer put it together.

I really want to test this part in its full extent..
  • 0
    It is possible to create a VLAN bridge on two interfaces; it's just not possible to have a NIC with both a regular interface and a VLAN interface defined on it.  What is it that you want to achieve?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,

    Well trying to bridge the "home"  LAN interface to the red interface as you said..
    My LAN interface is ETH3 with no "regular" interface, but two VLAN's defined.

    - In your home ASG, delete the Interface defined for the RED "NIC" and then bridge the RED "NIC" to your Internal interface.


    But as far as I can tell there is no way to do that - attaced screenshots, please advice.
  • 0
    OK, I see your problem - the bridging must happen before the interfaces are defined.  What about bridging redc1 and eth1, and then moving the VLAN definitions from eth2 to the new br0 NIC?

    I haven't done this with VLANS, but I think it should work.  Did that get you where you want to go?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    It works with moving VLAN's like that -did that before.

    But It has to wait for my test setup. Drove to the other end of the country today to the headquaters to upgrade the firewall here to 8.285 
    Once I am on top of the RED setup with my home ASG, I will implement full scale in the company..

    I will try it out when I get home later on tonight, since it requires my presence to move the cable once VLAN's are moved. But thats a few hours driving away at the moment :-(

    The major problem first appears when doing this at the company - thats alot of VLAN's to move - perhaps disabling their "virtual" interfaces is enough. In any case I suspect this to become a headache of many users when ASGaR is released.
    If I manage to get it all together I will try to document it in a pdf or the like to other (conf)users ;-)

    Will return later on when I have testet.
  • 0
    Ok, tried it out.. but never got it to work for my LAN ( maybe because its a vlan ? - must test again ).

    So I created a new bridge between redc1 and eth4 ( TEST ). Defined a new interface as normal ethernet with a new subnet. Defined a DHCP server for it..
    Set the ASG220 at work to DHCP on the RED interface and presto it got an IP from my home ASG.

    Problem was.. still no traffic flow. So I enabled OSPF again and presto there were connectivity.
    With anything allowed to both sides in the PF it still doesn't seem like network discovery works.

    To be honest, this is the exact same result as the previous setup with a transfer net.

    I am way to tired now to think clearly, so I will leave it for tonight and maybe build from scratch again tomorrow.

    So for now I feel like the only gain to ASGaR is that OSPF is more flexible than IPSec Site2Site because a "shared" network only has to be defined one place and not in remote / local network on a firewall on each site.

    Will get back on this Bob, but it seems it does not generate routes it self at all.
  • 0
    According to the following, there may still be a bug with VLANs on bridges: https://community.sophos.com/products/unified-threat-management/astaroorg/f/112/t/71326

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi vels,
    would you confirm that your problem could be the same as BAlfson described in the post above? If yes, then I would close this thread otherwise we need to track the issue by a new MantisID. Till now we couldn´t reproduce it yet.

    Regards,
    Masoumeh
  • 0 in reply to msaki
    Hi,

    No I cant confirm that since it relates to picking up packets on the http proxy on a bridge interface.

    The two real problems are:
    1.) you can't bridge a  interface that "holds" VLANs 
    2.) RED tunnel does not seem to work, even if you cheat and bridge two interfaces and then move VLANs to that bridge interface.

    hence, I believe the real problem might hide in the way VLAN interfaces is handled - it seems kinda "semi supported" and not fully implemented to work with everything.
  • 0
    To 1): 
    It could be an excellent suggestion to report on feature.astaro.com cause the feature to bridging of VLANs interfaces is indeed missing.
    To 2):
    I would speak to the responsible developer and keep you in the loop.

    Cheers,
    Masoumeh
  • 0 in reply to Vels

    The two real problems are:

    1.) you can't bridge a  interface that "holds" VLANs 


    That's intended behavior, so you could open a new feature request but there are several good reasons why this is not possible ...


    2.) RED tunnel does not seem to work, even if you cheat and bridge two interfaces and then move VLANs to that bridge interface.


    But you can ping between the peers (via the red tunnel), correct?

    Helmut
Unfiltered HTML