Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 4500 views
  • Users 0 members are here
Options
Suggested

[FEATURE] Site-to-site IPSEC VPN

CassianoSchenkel
Hi Everyone.
Does anybody else had some problem to make a IPSEC connection between Copernicus and Sophos UTM?
I tried many different ways to configure the IPSec (with/without DPD, Nat-T, Initiate/Respond Only, etc...). But the connection is not established.
In Copernicus side, I got these lines in ipsec.log:

Jul 14 09:52:21   error in X.509 certificate
Jul 14 09:52:21   loaded CA cert file '0f11b315.0' (848 bytes)
Jul 14 09:52:21   loaded CA cert file '0dd2d1b5.0' (1908 bytes)
Jul 14 09:52:21   loaded CA cert file '0d7eeae0.0' (1534 bytes)
Jul 14 09:52:21   loaded CA cert file '0d1b923b.0' (1699 bytes)
Jul 14 09:52:21   loaded CA cert file '0c4c9b6c.0' (2644 bytes)
Jul 14 09:52:21   loaded CA cert file '0ba01d19.0' (2229 bytes)
Jul 14 09:52:21   loaded CA cert file '0b759015.0' (1429 bytes)
Jul 14 09:52:21   loaded CA cert file '0a8f0c78.0' (2866 bytes)
Jul 14 09:52:21   loaded CA cert file '09ca81a7.0' (1174 bytes)
Jul 14 09:52:21   loaded CA cert file '09789157.0' (1505 bytes)
Jul 14 09:52:21   loaded CA cert file '0810ba98.0' (2389 bytes)
Jul 14 09:52:21   loaded CA cert file '080911ac.0' (2124 bytes)
Jul 14 09:52:21   loaded CA cert file '0750887b.0' (2850 bytes)
Jul 14 09:52:21   loaded CA cert file '062cdee6.0' (1284 bytes)
Jul 14 09:52:21   loaded CA cert file '03f0efa4.0' (1434 bytes)
Jul 14 09:52:21   loaded CA cert file '039c618a.0' (1607 bytes)
Jul 14 09:52:21   loaded CA cert file '034868d6.0' (2149 bytes)
Jul 14 09:52:21   loaded CA cert file '02b2d53d.0' (2257 bytes)
Jul 14 09:52:21   loaded CA cert file '024dc131.0' (2769 bytes)
Jul 14 09:52:21 Changing to directory '/conf/certificate/aacerts'
Jul 14 09:52:21 Changing to directory '/conf/certificate/ocspcerts'
Jul 14 09:52:21 Changing to directory '/conf/certificate/crls'
Jul 14 09:52:21   loaded crl file 'Default.tar.gz' (630 bytes)
Jul 14 09:52:21   file coded in unknown format, discarded
Jul 14 09:52:21   loaded crl file 'Default.crl' (711 bytes)
Jul 14 09:52:21   loaded crl file 'ClientAuthentication_CA.crl' (698 bytes)
Jul 14 09:52:21 crl issuer cacert not found for (file:///conf/certificate/crls/ClientAuthentication_CA.crlD0\202\377\177)

Any ideas?

Cheers,
  • 0
    Hi,

    We are able to establish IPSec site-to-site connection between Sophos UTM & Copernicus firewall. We checked it with custom ipsec policy created in both the appliances. 

    IPsec policy details:

    Sophos UTM ipsec policy:

    Compression off, not using strict policy.
    IKE Settings: AES 128 / SHA1 / Group 2: MODP 1024   Lifetime: 7800 seconds
    IPsec Settings: AES 128 / SHA1 / Group 2: MODP 1024   Lifetime: 3600 seconds

    Copernicus IPsec policy details: see attached image, remaining settings are unchanged, also disabled the compression.
     
    Can you re-try it Or provide full copernicus ipsec logs.
  • 0 in reply to vishaljpatel
    Hey guys.
    So far, my main concerns about Copernicus are regarding to VPNs.
    1. My IPSec tunnel between Copernicus and Sophos is now working. But, there are some weird things about IPSec in Copernicus. Eg. To send the traffic generated by the appliance through the tunnel, I MUST put my WAN address as a local network in Copernicus side and as a remote network in Sophos UTM side. This behaviour is very bad and in some cases it may causes traffic problems. Eg, RADIUS communication stops to work in this scenario.
    2. Long as I see, SSL VPN site-to-site between Copernicus and Sophos UTM is not compatible. Copernicus acts just as a Server, and Sophos UTM cannot import the config file generated by Copernicus. Am I right?
    3. There is no option to make a UTM RED tunnel (holy cow!)... In my case, I have many RED tunnels between UMTs. In my opinion, this is the best way to make tunnels between UMTs. It offers flexibility and a wild range of routing possibilities. Sophos is planing to put this feature in Copernicus sooner, isn't?

    Since I made the IPSec tunnel between Copernicus (in my local net) and Sophos UTM (in my data center), the STAS running in a AD server at the data center, stoped to send the users login/logout to the Copernicus, although the connectivity test is working. So far, I didn't found the reason for this behaviour. Moreover, any troubleshot is a hard work in Copernicus. The log analyzer tool, is very weak comparing to UTM's Live Log system.

    BTW, let's carry on...
  • 0 in reply to CassianoSchenkel
    Hi Cassiano,

    For point 1, are you referring to the Endpoint Detail of the Network Detail section?

    Struggling getting things to work so wondering if I'm missing something on the Network Detail side that is counter intuitive.

    I also agree on point 3.  We use many UTM to UTM RED tunnels for the same reasons.  Really hope this makes it into release 2 when VPN functionality get's some love.
  • 0 in reply to axsom1
    @Cassiano

    For Point 1 you can also use CLI commands to add static Route on tunnel(ipsec)  ;this will create static route in system to send local originated traffic to IPSec Tunnel.

    CLI command is : 
    console > system ipsec_route add net  tunnelname 

    This route will be apply on tunnel up event so need to reconnect tunnel once after adding this configuration.

    On tunnel down event this route will be remove from system.

    To check system routing table use CLI command .

    console> system diagnostics utilities route runconfig-show 

    Other useful command to SNAT the system originated traffic is 

    console> set advanced-firewall cr-traffic-nat add destination 192.168.1.0 netmask 255.255.255.0 snatip 172.16.16.16
  • 0 in reply to snehagohil
    @Cassiano

    Answering to your Point 3, Copernicus supports RED tunneling. You can add it via System-->Network-->Interface-->Add Interface-->Add RED.
  • 0 in reply to vishaljpatel
    ...I believe @Cassiano meant RED tunnel between 2 UTM devices not UTM to REDXX device. This is currently available in Sophos UTM.
  • 0 in reply to snehagohil
    @Cassiano

    For Point 1 you can also use CLI commands to add static Route on tunnel(ipsec)  ;this will create static route in system to send local originated traffic to IPSec Tunnel.

    CLI command is : 
    console > system ipsec_route add net  tunnelname 

    This route will be apply on tunnel up event so need to reconnect tunnel once after adding this configuration.

    On tunnel down event this route will be remove from system.

    To check system routing table use CLI command .

    console> system diagnostics utilities route runconfig-show 

    Other useful command to SNAT the system originated traffic is 

    console> set advanced-firewall cr-traffic-nat add destination 192.168.1.0 netmask 255.255.255.0 snatip 172.16.16.16


    Sorry, but using CLI should not be an option for a customer.
  • 0 in reply to Rok
    Hello guys.

    @axsom1, what I had to do is to put the ipsec0 as a local network under "Network Detail -> Local Subnet", in the Copernicus side. Then I put the IP Address of my ipsec0 (which is an APIPA IP like 169.254.234.5) in the Remote network, under "Remote Gateway" configuration in Sophos UTM side. After that I created a route using CLI, like described by snehagohil (console > system ipsec_route add net  tunnelname ). It works for me. If you need further help, you can send me a message via skype.

    @snehagohil, I made this route. But I realy don't remember if I restart the VPN after the route is done. I gonna test this. I also saw that there are many interesting commands under "console> system". Do you have an list of these commands? It would be awsome.

    About the RED tunnels, yes, I meant RED tunnel between to Sophos UTM or between Copernicus and Sophos UTM.

    Thank you guys,
  • 0 in reply to CassianoSchenkel
    Hi Cassiano,

    UTM to UTM red tunnels won't be in the first release of Copernicus. we won't be able to add them just yet, but we're planning to add them in the next version.
  • 0 in reply to AlanT_01
    @Cassiano , console Guide for CLI commands should be available by GA , meanwhile i can help you with information for any specific commands.

    CLI commands gives small help and option when you press ? or space
Unfiltered HTML