Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 27 replies
  • Subscribers 1 subscriber
  • Views 10093 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

3 firewalls and 1 VPN

Mbaray
Hello,

We use a Netgear UTM9S in our LAN and a Sophos UTM9 in our cloud to make a VPN connection. The VPN is up, no problem with that. But, in our cloud, we have 2 UTM9, one for the VPN connection and the other which protects our datacenter in the cloud.

The VPN connect our LAN in 192.168.1.0/24 to the UTM9 in 192.168.0.0/16. We can ping its interface. The other UTM9 have an interface in 192.168.0.2 and an other in 192.168.3.1. So both UTM9 can see each other, but we can't ping the interface in 192.168.0.2. Both UTM9 authorize our LAN network and the public address of our ISP.

I join a representation of this architecture.

What we forget to do?

Thanks for your help.

Best regards,

Mehdi BARAY


This thread was automatically locked due to age.
  • 0
    Hi, your 192.168.0.0/16 conflicts with the other networks.

    Barry
  • 0
    Your networks (A)192.168.1.0/24 and (B)192.168.3.0/24 are part of the bigger range (C)192.168.0.0/16 so the traffic never leaves the local network (C).
    A host in (C) may reply to an incoming host 192.168.1.1 but these packets never leave the local subnet, because the destination adress belongs to (C) itself.
    All sites should have unique non overlapping ranges e.g. (A) 10.250.1.0/24 (B) 10.250.2.0/24 and (C) 10.252.0.0/16.

    DarkM
  • 0
    Hi,

    Thank you all for your answers. So, if I just change the netmask of the cloud's datacenter to /24 instead of /16, it's gonna work fine. Like (A) 192.168.1.0/24 (B) 192.168.0.0/24 (C) 192.168.3.0/24. In the datacenter, all the machines are on 192.168.0.0/16 network but their adresses are in 192.168.3.x.
  • 0
    Yes, they all should be changed to 192.168.3.0/24.

    Cheers - Bob
  • 0
    Hello everyone !

    Big problem... I change the netmask /16 to /24 for every interface of my two UTM9. After that, I was able to access to my LAN. For exemple, I could access to the Netgear webadmin interface. A moment after that, the VPN was down, so I brought it up. And now, nothing work. The VPN is up and I even can't ping the interface 192.168.0.1 of the UTM9 I use for the VPN connection.

    I make a mistake? I forget something? I don't really understance this change.
  • 0
    Hi, you probably need to update the network definitions on both firewalls and re-check the VPN settings.

    Barry
  • 0
    Hi,
    I changed all the network definitions I needed on both firewalls. All the VPN settings are ok and it's up. Why I can't ping 192.168.0.0/24? According to the image of the infrastructure I sended, beginning to the left of the image, I changed 192.168.0.0/16 to 192.168.3.0/24, 192.168.3.1/16 to 192.168.3.1/24, 192.168.0.2/16 to 192.168.0.2/24 and 192.168.0.1/16 to 192.168.0.1/24. Do you think it can be a system problem? If I just reboot the UTM9?

    Thanks again for the help.

    Mehdi
  • 0
    Hi, Mehdi,

    Check your  VPN definitions in all three.  If you want us to check that with you, please [Go Advanced] below and attach pictures of the IPsec Connection and Remote Gateway definitions in both UTM9 devices.

    Also, do the servers in the Data Center have 192.168.3.0/24 subnets like the UTM9 interface?

    Cheers - Bob
  • 0
    Hi Bob,

    I join all the configuration of my VPN. You have the definitions in the Netgear UTM9S, in our LAN, and the definitions in the UTM9, in our cloud. VPN is up.

    The servers in our datacenter are in the 192.168.3.0/24 network.

    Regards, Mehdi