Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 4023 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN over RED does not work

Sophisticated
Hello guys,

following situation:

i have a costumer with two locations. (Hamburg -> Berlin)

Main location with Sophos UTM220(Hamburg), second location with RED10(Berlin).
They are connected, everything is working fine!
(Ping, DNS, DHCP, everything!)

Now the problem i got: When connected to the UTM220 with IPSec VPN (NCP Secure Entry Client) i can not ping any server or client (rdp etc. also not working) in Berlin from my notebook with vpn-client on it. DNS works fine. Of course I can reach all devices in Hamburg now, but to connect to Berlin i have to start a rdp-session to a device in Hamburg.

how do i manage to be able to connect to a device in Berlin directly with a VPN connection to Hamburg?


This thread was automatically locked due to age.
  • 0
    You need to make sure that the Berlin site knows to route the virtual-IP-pool to Hamburg (if you use split-tunneling). So the Virtual-ip-pool needs to part of the split-networks
  • 0
    Hamburg Subnet is 172.16.2.0/17 and Berlin Subnet is 172.17.2.0/17.
    The IPSec VPN Pool is (by default) 10.242.4.0/24.
    In Hamburg DHCP is provided by a DC and in Berlin by UTM220/RED.

    RED operation mode is Standard/Unified, so no split-tunneling.

    The VPN-pool is able to route into Hamburg (completey) when connected to UTM220.
    When connected to the router in Berlin (VPN) i can route into Berlin (completley), but again not to Hamburg. 

    So i have a 10.242.4.0/24 adress (now connected to Hamburg)
    I can reach everything in 172.16.2.0/17 (rdp,ping, smtp, ftp -every client doesn't matter)
    but nothing in 172.17.2.0/17

    I always have to make an rdp hop over the subnet i am connected to.
  • 0
    Do you have both networks listed under local networks in ipsec remote access?
    If you don't have automatic firewall rules enabled, you also have to make firewall rules in the firewall to allow the traffic
  • 0 in reply to apijnappels
    Hi apijnappels,

    thanks for your interest and effort!

    Do you have both networks listed under local networks in ipsec remote access?


    Yes of course, both networks are listed there.


    If you don't have automatic firewall rules enabled, you also have to make firewall rules in the firewall to allow the traffic


    Automatic firewall-rules were set too.
  • 0
    Hi,

    this is normal. 
    you need to add the VPN Pool to the local /remote subnet on both side of the RED tunnel OR just create an SNAT rule in Hamburg
    Source: VPN Pool Subnet
    Service: Any
    Goint to: Remote Subnet (172.17.2.0/17)
    Change the source to: INTERNAL (172.16.2.0/17)
    auto firewall enable

    now you could access the LAN in berlin when connectet to Hamburg via VPN.
    Without one of this two options there is no route back from berlin to hamburg and so access is not possible.

    Regards,
    Gerald
  • 0
    It always pays to check the KnowledgeBase: How to allow remote access users to reach another site via a Site-to-Site Tunnel

    If you have to use the workaround that Gerald suggests instead of the proper RED configuration that he confirms, then I suspect you have a misconfiguration related to what I call Rule #3:

    Never create a Host/Network definition bound to a specific interface.
    Always leave all definitions with 'Interface: >'.



    Cheers - Bob

  • 0
    Hi  Sophisticated,
    is your Subnetmask of  /17 a typo?
    What does the Router in Berlin do?
    is your RED IP in Berlin the DefaultGateway for your Clients in Berlin?

    Greets
    Firebear
  • 0
    Hi,

    @Bob - RED configuration seems perfect sins everything from site to site works perfect. The only thing is my VPN Client.

    @Firebear - The router in Berlin actually does not do anything besides DHCP for the RED only. All clients and servers are running through RED. The RED itself does DHCP via UTM220 in Hamburg and is the default gateway for alle clients there.

    Greets
    Sophisticated
  • 0
    So, you've added "VPN Pool (IPsec)" to 'Split networks' in the RED definition and the network in Berlin to 'Local networks' in the 'IPsec remote access rule'?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Sophisticated;

    wich networks are defined in your ip-sec ncp-client as remote-networks?

    Firebear