Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1050 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-site: problem with different gateways

MagicMike
Bumped into a problem with having different internal gateways on the site-to-site endpoints.

Let's say that A has a network with 10.10.10.0 and .1 as gw. Then B has 192.168.100.0 and .254 as gw. The traffic works okay from B to A but not from A to B because of the gateway being different from the "default".

How do I tell (and which ASG, both sides have them) that the network setup is different from usual in the other end? This seems simple, maybe I just don't find the obvious solution ..


This thread was automatically locked due to age.
Parents
  • 0
    My guess is that it's not the gateway, but that there's a route needed in the device that provides the endpoint for A.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    thanks for your quick reply.

    As far as I remember (I don't have access for the devices right now), the clients at B actually have their network setup as 192.168.100/24 and gw as .254, while .1 being their server of some sort. The access is needed (at least) for the server, and now the ASG at B gives a spoofing error (for getting a different MAC answering for .1 which it thinks should be coming from itself). If we disable the spoofing detection, it works.

    So we should create a route at A, like this?

    Route type -> GW route
    Network -> B LAN Network
    Gateway -> B gateway

    Think it was already tried with no succes, but maybe could be tried again ..
  • 0 in reply to MagicMike
    That spoofing error confuses me.  It sounds like you changed an IP.  Maybe you need to reboot a router to get it to clear its ARP table.  If that doesn't resolve the problem, I'd check that you have 'Strict Routing' checked in the definition of the 'IPSec Connection' in the ASG at A.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I'm quite sure the strict routing is used at both ends (ASG 220's). I'll see if they can reboot the machine within reasonable schedule. First I must double check that the connection actually worked with spoof protection off. But I recall it does [:)]
Reply
  • 0 in reply to BAlfson
    I'm quite sure the strict routing is used at both ends (ASG 220's). I'll see if they can reboot the machine within reasonable schedule. First I must double check that the connection actually worked with spoof protection off. But I recall it does [:)]
Children
  • 0 in reply to MagicMike
    I don't think it's the ASG that needs to be rebooted, just a router or switch connected at A.  That spoof problem should not be there; my guess is that it's generated by the same thing that's causing the routing problem.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hmm, seems that both static route and setting the spoof protection off did the job. Guess they didn't try both settings at the same time before. Still wonder the original reason but can live with just the result too. If there's anything new, I'll post it here again.
Cookie Information Banner