Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 10302 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cannot ping the other side of the VPN from SOPHOS Box on the server side of the VPN

cemendes
Hello all,

This is a very interesting issue. 

Several weeks ago, I was having a hard time setting up a VPN site-to-site using UTM 9. You can see my odyssey here

Long story short, I found out that you cannot ping from the server side of the vpn to the client side of the VPN from the UTM 9 box. It works from the server side of the VPN 

Well...at the time I found out the problem - with much appreciated help from this forum, and a friend that is a SOPHOS partner - I thought: nobody will want to ping the other side of the vpn from the UTM box. Well...it turned out I was wrong. 

Little diagram:

Branch Office >>>> VPN >>>>> Headquarters
Server Side of the VPN            Client side of the VPN
192.168.150.0                        192.168.0.0

I need to configure SOPHOS UTM on the branch office, to authenticate against a Active Directory server that resides on the headquarters. I tried configuring it under Users and Definitions/Authentication Servers and got a timeout.  Then, I had the "brilliant" idea to ping the AD(that resides on the headquarter) from the branch office UTM using the webadmin ping tool. No love! I cannot establish any sort of communication with computers behind the headquarters UTM. However, I can ping fine from any computer that is behind the branch office UTM.

I know I can create a NAT on the headquarter UTM pointing to my AD server. However, I want to avoid this option at any cost. 

What I checked out: 

No Packages Blocked on the firewall
No blocks on the webfilter(it doesn't make sense but, I checked anyways)
No Packages Blocked on the IPS
All these options are enabled at NetWork Protection/Firewall/ICMP for both UTM boxes.

Global ICMP settings

Allow ICMP on Gateway
Allow ICMP through Gateway

Ping settings

Gateway is Ping visible
Ping from Gateway
Gateway forwards Pings


This thread was automatically locked due to age.
Parents
  • 0
    I think I made some progress. 

    When I ping, it does not show anything on the firewall log. When I use telnet to connect to an open port, it actually shows packets being blocked on the firewall log.  I am telneting from the server side of the vpn to a box that is behind the client side of the vpn. This is what the firewall log shows on the client side of the VPN.

    01:46:00  DROP padrão  TCP  10.242.2.1  :  35853 →  192.168.0.250  :  80
    [SYN]  len=60  ttl=63  tos=0x10  srcmac=70:71:bc:66:ab:be
    01:46:00  DROP padrão  TCP  10.242.2.1  :  35853 →  192.168.0.250  :  80
    [SYN]  len=60  ttl=63  tos=0x10  srcmac=70:71:bc:66:ab:be
    01:46:03  DROP padrão  TCP  10.242.2.1  :  35853 →  192.168.0.250  :  80
    [SYN]  len=60  ttl=63  tos=0x10  srcmac=70:71:bc:66:ab:be


    I created a rule, on the client side of the VPN, to allow any packages from the SSL VPN Pool - networks 10.242.2.0 - going to 192.168.0.0. The packages are not being blocked anymore, however, telnet times out. 


    I collected a trace with tcpdump while I was telneting - remember, I am telneting from server side of the VPN and collecting tcpdump on the client side of it - and I can see that the three way handshake never happens. Only ACKS are sent.  SRVAD01.novaprestech.int is the server I am trying to reach. 

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on tun1, link-type RAW (Raw IP), capture size 96 bytes
    01:55:23.189459 IP 10.242.2.1.35917 > srvad01.novaprestech.int.http: S 1223329437:1223329437(0) win 14600 
    01:55:24.184149 IP 10.242.2.1.35917 > srvad01.novaprestech.int.http: S 1223329437:1223329437(0) win 14600 
    01:55:26.188903 IP 10.242.2.1.35917 > srvad01.novaprestech.int.http: S 1223329437:1223329437(0) win 14600 
    01:55:27.323317 IP suporte01.novaprestech.int.49154 > 192.168.150.245.snmp:  GetRequest(63)  25.3.2.1.5.1 [|snmp]
    01:55:30.192636 IP 10.242.2.1.35917 > srvad01.novaprestech.int.http: S 1223329437:1223329437(0) win 14600 
    01:55:30.381382 IP 10.242.2.1 > suporte01.novaprestech.int: ICMP host 192.168.150.245 unreachable, length 114
    01:55:38.208440 IP 10.242.2.1.35917 > srvad01.novaprestech.int.http: S 1223329437:1223329437(0) win 14600 
    01:55:38.328931 IP suporte01.novaprestech.int.49154 > 192.168.150.245.snmp:  GetRequest(63)  25.3.2.1.5.1 [|snmp]
Reply
  • 0
    I think I made some progress. 

    When I ping, it does not show anything on the firewall log. When I use telnet to connect to an open port, it actually shows packets being blocked on the firewall log.  I am telneting from the server side of the vpn to a box that is behind the client side of the vpn. This is what the firewall log shows on the client side of the VPN.

    01:46:00  DROP padrão  TCP  10.242.2.1  :  35853 →  192.168.0.250  :  80
    [SYN]  len=60  ttl=63  tos=0x10  srcmac=70:71:bc:66:ab:be
    01:46:00  DROP padrão  TCP  10.242.2.1  :  35853 →  192.168.0.250  :  80
    [SYN]  len=60  ttl=63  tos=0x10  srcmac=70:71:bc:66:ab:be
    01:46:03  DROP padrão  TCP  10.242.2.1  :  35853 →  192.168.0.250  :  80
    [SYN]  len=60  ttl=63  tos=0x10  srcmac=70:71:bc:66:ab:be


    I created a rule, on the client side of the VPN, to allow any packages from the SSL VPN Pool - networks 10.242.2.0 - going to 192.168.0.0. The packages are not being blocked anymore, however, telnet times out. 


    I collected a trace with tcpdump while I was telneting - remember, I am telneting from server side of the VPN and collecting tcpdump on the client side of it - and I can see that the three way handshake never happens. Only ACKS are sent.  SRVAD01.novaprestech.int is the server I am trying to reach. 

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on tun1, link-type RAW (Raw IP), capture size 96 bytes
    01:55:23.189459 IP 10.242.2.1.35917 > srvad01.novaprestech.int.http: S 1223329437:1223329437(0) win 14600 
    01:55:24.184149 IP 10.242.2.1.35917 > srvad01.novaprestech.int.http: S 1223329437:1223329437(0) win 14600 
    01:55:26.188903 IP 10.242.2.1.35917 > srvad01.novaprestech.int.http: S 1223329437:1223329437(0) win 14600 
    01:55:27.323317 IP suporte01.novaprestech.int.49154 > 192.168.150.245.snmp:  GetRequest(63)  25.3.2.1.5.1 [|snmp]
    01:55:30.192636 IP 10.242.2.1.35917 > srvad01.novaprestech.int.http: S 1223329437:1223329437(0) win 14600 
    01:55:30.381382 IP 10.242.2.1 > suporte01.novaprestech.int: ICMP host 192.168.150.245 unreachable, length 114
    01:55:38.208440 IP 10.242.2.1.35917 > srvad01.novaprestech.int.http: S 1223329437:1223329437(0) win 14600 
    01:55:38.328931 IP suporte01.novaprestech.int.49154 > 192.168.150.245.snmp:  GetRequest(63)  25.3.2.1.5.1 [|snmp]
Children
No Data