Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1893 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-To-Site VPN Firewall Rules

^-^Neko
Hi Everyone,

I'm a little lost on the site-to-site vpn setup. I've set it up on V7 without too many troubles,
and even replicate the configuration on V8 i run into some issues...

The issue is that traffic between the two remote sites is blocked. I can see the packet filter rule blocking it. The only way to allow traffic and comunicate is to set a Packet filter rule on both sites as :

Source: any
Destination: any
Service: any

Here my setup:

- Set-up site-to-site VPN and connects succesfully
- Checked "Automatic Firewall Rules"

with this settings, traffic is blocked

I tried to add additional rules:

- LAN1 -> LAN2 : Service: Any -> Allow ->Interface: ANY
- LAN2 -> LAN1: Service Any -> Allow ->Interface: ANY

Still didn't work.

In addition our ISP sent us a complain (but i'm not sure is legitimate) that they catched
DoS out of our IP. Since the remote site has no clients (just servers that were fresh installed) i suspect that traffic is sent over WAN.

What i cannot understand, is why with packet filter of ANY->ANY->ANY the two sites can talk to each other, but (if the ISP is correct) part of the traffic is sent over the WAN link as well..

Thank you in advance
Neko


This thread was automatically locked due to age.
  • 0
    Hi Neko

    Sounds a bit that your Site-To-Site VPN configuration is wrong somewhere.
    With "Automatic Firewall Rules" checked, it definitely should work without any additional PF rules.

    You may should post your VPN configuration.
  • 0 in reply to UrsWeiss
    Hi, thanks for your reply,...
    I'm late in following up as i've tried multiple times with different settings...but still no luck.

    I've noticed something:

    It works using SSL-VPN, but it doesn't work using IPSEC VPN.

    on IPSEC vpn, the only way to get it working, is to allow in the packet
    filter ANY source - ANY service - ANY destination...which is not really good...

    Any other suggestion? am I missing something?

    Thanks!
    Neko
  • 0
    Nothing looks incorrect there, Niko.  Please show the (full, not live log) packet filter lines with the blocked IPsec packets.  Show a pic of the 'Site-to-site VPN tunnel status' when you don't have the extra packet filter rule.  Depending on what those show, we might need to see the IPsec log from both sides for a connection attempt.

    As for the ISP's complaints, you might try selecting 'Strict routing' on both sides.

    Cheers - Bob