Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 11474 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN Site-to-Site: only one side works.

cemendes
Hello guys!

UTM9. I have PPPOE on both sides. The UTM's SSL VPN connect fine, but only the client side can ping the server side of the VPN. The setup is very simple. I am pulling my hair off over this issue. I already read tons of messages from the list but, couldn't find any similar problem. Any ideas will be appreciated. I will post logs on the next thread.


This thread was automatically locked due to age.
  • 0
    I'm not sure I understood what you meant. My default gateway is my internet connection, Bob. I hid part of the ip address.

  • 0
    That is my network diagram:

    SOPHOS on the main office
    192.168.0.15 >> Sophos Internal NIC
    200.166.***.*** >>> SOPHOS EXTERNAL NIC
    Default gateway is my ADSL modem.

    SOPHOS on the branch office
    192.168.150.254 >> Sophos Internal NIC
    200.151.***.*** >> Sophos External NIC
    Default gateway is my ADSL modem.
  • 0
    This must be a routing problem.  Can you check all of the related Host definitions (gateway and local/remote networks) and confirm none is bound to an interface - that all have 'Interface: >'?

    Cheers - BOb
  • 0
    Just checked, Bob. They have > for all of them. 

    I agree with you, this must be a routing problem. However, how to identify it? I don't have anything else between these two UTM's but the internet. I tried it in my lab and got the same behavior. I even downloaded UTM 8 last night, setup two vms, I reproduced the same issue. 

    I am running out of ideas. 

    I ran traceroute on both UTMs and this is the results I got:

    Branch Office
    fw-novanetinfo:/home/login # traceroute 192.168.0.15
    traceroute to 192.168.0.15 (192.168.0.15), 30 hops max, 40 byte packets using UDP
     1  * * *
     2  * * *
     3  * * *
     4  * * *
     5  * * *
     6  * * *
     7  * * *
     8  * * *
     9  * * *
    10  * * *
    11  * * *
    12  * * *
    13  * * *
    14  * * *
    15  * * *
    16  * * *
    17  * * *
    18  * * *
    19  * * *
    20  * * *
    21  * * *
    22  * * *
    23  * * *
    24  * * *
    25  * * *
    26  * * *
    27  * * *
    28  * * *
    29  * * *
    30  * * *

    Main Office:
    prestech1:/home/login # traceroute 192.168.150.254
    traceroute to 192.168.150.254 (192.168.150.254), 30 hops max, 40 byte packets using UDP
     1  192.168.150.254 (192.168.150.254)  50.970 ms   126.024 ms   124.924 ms
  • 0
    Hello Bob and All,

    Sorry it took me so long to post an answer. Here are my finds. 

    1 - Since I was configuring this vpn remotely - I wasn't in any of both vpn end points. I was  pinging opposite networks from the within the astaro boxes. Somehow, only one side pings the other side. 

    2 - I had a rule allowing all from any on both sides of the vpn. That masked/created the problem. After I removed this rules from both sides and started pingining the networks from windows machines behind the astaro boxes, all started to work. 

    I really appreciate Bob's patience and wiliness to help.  

    -Eduardo
  • 0
    Hey Eduardo - that's great news!  I think the genies in the boxes decided that your mojo was stronger than theirs!

    Cheers - Bob