Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 5013 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site2Site VPN established, but Firewall blocking traffic

playersons
Hello folks,

I have succesfully established an IPSec Tunnel between an Astaro UTM 9 and a Watchguard Firebox XTM v. 11.7
The config looks like this:

(local) 10.20.100.0/24=10.0.88.200  (remote) 82.194.116.122=10.188.28.0/24

There seem to be two (probably different) problems here:

I can ping from local to remote, but not from remote to local.
When I try to ssh from local to remote, I can see the attempt being blocked by the firewall:

11:33:19 Default DROP TCP 10.20.100.144:33000 → 10.188.28.250:22 [SYN] len=60 ttl=64 tos=0x00 srcmac=0:50:56:8e:c:98

There is the default rule that should allow any traffic of type "Terminal Applications" from local networks to any destination, but this does not seem to apply.
I have tried rules additional rules in top position, that should allow this traffic to pass, but to no avail. I really hope someone out there can help me out.
Screenshots of the config are attached to this post.

Thanks to everybody.
playersons


This thread was automatically locked due to age.
  • 0
    Please post some screenshots of your firewallrules.
  • 0 in reply to GMF
    Please post some screenshots of your firewallrules.


    ok, here is it.
  • 0
    same problem for me between utm 9 and checkpoint.
    remote host cannot ping me..... support still working on this case...
  • 0
    I don't know why you want WAN (Network) to communicate with nearly everything.

    Is your internal network something like 10.20.100/24?
    And which device is between your utm and the www?
  • 0
    Hi, Playersons, and welcome to the User BB!

    Please show a picture of the edit of the definition "FRB" with 'Advanced' expanded.

    Also, please post the 11:33:19 log line above from the full log file.  Only limited information appears in the Firewall Live Log - this applies only to the Firewall log the other Live Logs aren't limited.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to GMF
    I don't know why you want WAN (Network) to communicate with nearly everything.

    Is your internal network something like 10.20.100/24?
    And which device is between your utm and the www?


    yes, that is our main internal network. We have a f5 load balancer between the utm (local network) and the www. there is a virtual server configured on the f5 that passes all traffic for a certain address to the utm.

    the WAN is actually just another local network on a seperate nic, that connects the utm with the f5.

    playersons
  • 0 in reply to BAlfson
    Hi, Playersons, and welcome to the User BB!

    Please show a picture of the edit of the definition "FRB" with 'Advanced' expanded.

    Also, please post the 11:33:19 log line above from the full log file.  Only limited information appears in the Firewall Live Log - this applies only to the Firewall log the other Live Logs aren't limited.

    Cheers - Bob


    below are the screen shots for the firewall rule "FRB".
    and this here is an extract from the current full firewall log:

    srcip="10.20.100.144" dstip="10.188.28.250" proto="6" length="60" tos="0x00" prec="0x00" ttl="64" srcport="36889" dstport="22" tcpflags="SYN" 
    2013:02:01-07:39:44 vipsec ulogd[4500]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth0" srcmac="0:50:56:8e:c:98" srcip="10.20.100.144" dstip="10.188.28.250" proto="6" length="60" tos="0x00" prec="0x00" ttl="64" srcport="36889" dstport="22" tcpflags="SYN" 
    2013:02:01-07:39:46 vipsec ulogd[4500]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth0" srcmac="0:50:56:8e:c:98" srcip="10.20.100.144" dstip="10.188.28.250" proto="6" length="60" tos="0x00" prec="0x00" ttl="64" srcport="36889" dstport="22" tcpflags="SYN" 
    2013:02:01-07:39:50 vipsec ulogd[4500]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth0" srcmac="0:50:56:8e:c:98" srcip="10.20.100.144" dstip="10.188.28.250" proto="6" length="60" tos="0x00" prec="0x00" ttl="64" srcport="36889" dstport="22" tcpflags="SYN" 
    2013:02:01-07:39:58 vipsec ulogd[4500]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth0" srcmac="0:50:56:8e:c:98" srcip="10.20.100.144" dstip="10.188.28.250" proto="6" length="60" tos="0x00" prec="0x00" ttl="64" srcport="36889" dstport="22" tcpflags="SYN"
  • 0
    fwrule="60003" outitf="eth0" means that the packet was dropped out of the OUTPUT chain for the External interface.  That means the packet didn't get into the VPN tunnel.

    Please show a picture of the edit of the Host definition "FRB" with 'Advanced' expanded.  Also, I'm confused.  If the "FRB" 'Gateway' in the 'Remote Gateway' definition is different from the "FRB" in the Firewall rule, please show a similar picture of it.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    fwrule="60003" outitf="eth0" means that the packet was dropped out of the OUTPUT chain for the External interface.  That means the packet didn't get into the VPN tunnel.

    Please show a picture of the edit of the Host definition "FRB" with 'Advanced' expanded.  Also, I'm confused.  If the "FRB" 'Gateway' in the 'Remote Gateway' definition is different from the "FRB" in the Firewall rule, please show a similar picture of it.

    Cheers - Bob


    OK, here is the Host definition for "FRB". The "FRB" 'Gateway' in the 'Remote Gateway' definition is using this Host definition.

    But, I have just noticed something that must have been skipped my demolished brain, since this VPN Tunnel was the main purpose and I did not pay too much attention to other things so far. I am testing this connection being logged in on the UTM and now I see that from there I can't ssh to any other host on the same LAN at all. Is this some kind of feature or is there something really wrong here?

    Thank you so much for your valued attention and time.

    playersons
  • 0
    In the DNS Host "FRB", delete the binding to "Uplink interfaces" and leave the definition with 'Interface: >'.  I think that will solve your problem.

    I call it Rule #3:

    Never create a Host/Network definition bound to a specific interface.
    Always leave all definitions with 'Interface: >'.



    In the 'Remote Gateway' definition, there's a different "FRB" in 'Remote networks' - you might want to change the name of that definition to "FRB LAN" or something more representative.

    Cheers - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?