Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-Site routing not working after update to v8?

After I finished upgrading from v7.5, I was told that users logging into the VPN were not able to access remote files or servers.

I am able to ping each internal port on the firewalls from the primary firewall, but as soon as I try to ping a server at one of the remote locations, it times out. I am pinging by IP address.

I am also able to ping from each firewall to its own internal network, just not from one firewall to a remote network across a tunnel. This all worked before the upgrade. 

I am also pretty sure it worked going from a v7.5 FW to a v8 FW. I didn't do all of the upgrades in the same week and I didn't have any complaints until I upgraded the remote access VPN FW.

I have checked the routes on the remote workstation and they are all there.


This thread was automatically locked due to age.
  • Hi, have you checked the PacketFilter and IPS logs already?

    Barry
  • Yes, I turned off IPS and don't see anything show up in Packet Filter.
  • Which Remote Access service?  Is there anything unusual in the relevant log?

    Cheers - Bob
  • SSL VPN.

    But it is not related to that because I can't ping from Support > Tools in the firewall either.
  • Check your route table on the workstations to make sure it isn't dropping them. I have seen this a few times. 
    Start a ping
    log into the vpn
    as soon as the vpn comes up, the pings start returning and then 8 to 10 seconds later they stop.
    The client was dropping the routes.
    Just a guess based on an open support call I currently have.
  • Are you allowing pings in WebAdmin>>Network Security>>Packet Filter>>ICMP?
  • Maybe I was not clear. This is a new phenomena that is coincident with the upgrade to v8. I am allowing pings to and through the firewalls. 

    Pings are timing out the whole time from the workstation even right after connection. The reason I mentioned VPN clients was because that is all I need this for. We are using our Site-to-Site tunnels as a backup to our MPLS infrastructure and also as the connection for our VPN clients. 

    This worked fine in the weeks when the remote firewalls were upgraded to v8 and only stopped working when the primary (and Remote Access host) was upgraded to v8.
  • Just a shot in the dark here but have you taken a look at the "Local Networks" for the IPSec connections as well as the "remote networks" in the Remote Gateway? 
    Also, add a packet filter rule, with logging, to allow all traffic to/from those destinations and make sure it's at the top of the list. This should be done for testing only and keep an eye on your traffic while it's going on.

    Please let us know how you are doing, I'd like to see the final resolution.
  • If these aren't Astaro hardware appliances, you might want to check that the Ethernet NICs weren't renumbered.  I don't remember in which version that was fixed.  What version are they on now?

    Cheers - Bob
  • I am on the latest version and I am pretty sure the NIC's are right. Everything else seems to work. And, like I said, I can ping remote firewalls, just not past them.