Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 27 replies
  • Subscribers 1 subscriber
  • Views 10105 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

3 firewalls and 1 VPN

Mbaray
Hello,

We use a Netgear UTM9S in our LAN and a Sophos UTM9 in our cloud to make a VPN connection. The VPN is up, no problem with that. But, in our cloud, we have 2 UTM9, one for the VPN connection and the other which protects our datacenter in the cloud.

The VPN connect our LAN in 192.168.1.0/24 to the UTM9 in 192.168.0.0/16. We can ping its interface. The other UTM9 have an interface in 192.168.0.2 and an other in 192.168.3.1. So both UTM9 can see each other, but we can't ping the interface in 192.168.0.2. Both UTM9 authorize our LAN network and the public address of our ISP.

I join a representation of this architecture.

What we forget to do?

Thanks for your help.

Best regards,

Mehdi BARAY


This thread was automatically locked due to age.
  • 0
    Yup everybody!

    No idea? That's really weird because, the first time I changed the netmask of each network, everything gone fine... The VPN just go down and re-up one time after that and nothing work after. 
    My head blows off...
  • 0
    Hello everyone!

    I just have a call with an Astaro technician who told me that it appends to him that a process, in a Sophos appliance, just "flips out" and a reboot resolve the problem. Do you think a reboot can make it work?
  • 0
    In the diagram in post #1, it appears that the utm9_2 is the VPN host.  It appears that utm9_1 has an Internal interface 192.168.3.1/24 and an External interface 192.168.0.2/24 with default gateway of 192.168.0.1.

    In this case three things are required:
    [LIST=1]
    • In utm9_2, there must be a static gateway route: 192.168.3.0/24 -> 192.168.0.2
    • In utm9_2, the VPN definition must include both 192.168.0.0/24 and 192.168.3.0/24 in 'Local networks'
    • In the Netgear, the VPN definition must include both 192.168.0.0/24 and 192.168.3.0/24 in remote networks
    [/LIST]

    It appears that step 3 is impossible with the Netgear.  If so, I would recommend changing the utm9_1utm9_2 network from 192.168.0.0/24 to 192.168.2.0/24.  Change the gateway in step 1 to 192.168.2.2 and change the last two steps to use 192.168.2.0/23 instead of 192.168.0.0/24 and 192.168.3.0/24.

    Any luck?

    Cheers - Bob
  • 0
    Hello Bob,

    We use another interface in the two UTM9 in 192.168.2.1 and 192.168.2.2 for our DMZ. So I don't touch the adress of each interface but in the VPN configuration, I use 192.168.0.0/22 instead of 192.168.0.0/24 and 192.168.3.0/24. the VPN is up but I can't ping 192.168.0.1.

    Is that right?

    But I don't understand why I can't ping 192.168.0.1 if I configure the VPN with 192.168.0.0/24 in Local Networks in our UTM9_2 and in remote networks for the Netgear.

    Regards, Mehdi
  • 0
    Doesn't 192.168.0.0/22 overlap with 192.168.1.0/24?  You're pinging 192.168.0.1, but there are two routes in the utm for the return trip, so the answer is getting lost.

    Cheers - Bob
  • 0
    Hello Bob,

    Thanks for your observation. So, I let 192.168.0.0/22 in the VPN configuration but I change the LAN network to 192.168.5.0/24. The VPN is up but nothing pass.

    Regards, Mehdi
  • 0
    The UTM9_2 blocks my packets. But I selected "Automatic firewall rules" and I put a rule to accept the traffic from my LAN and the public IP I use for the VPN connection. I set it for any services and any destinations.
  • 0
    Hello everybody!

    Do you think this solution will work for my infrastructure : https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/54765 ?
    I'll try it.
  • 0
    Hello!

    So, I try this solution and...nothing work...