Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 5013 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site2Site VPN established, but Firewall blocking traffic

playersons
Hello folks,

I have succesfully established an IPSec Tunnel between an Astaro UTM 9 and a Watchguard Firebox XTM v. 11.7
The config looks like this:

(local) 10.20.100.0/24=10.0.88.200  (remote) 82.194.116.122=10.188.28.0/24

There seem to be two (probably different) problems here:

I can ping from local to remote, but not from remote to local.
When I try to ssh from local to remote, I can see the attempt being blocked by the firewall:

11:33:19 Default DROP TCP 10.20.100.144:33000 → 10.188.28.250:22 [SYN] len=60 ttl=64 tos=0x00 srcmac=0:50:56:8e:c:98

There is the default rule that should allow any traffic of type "Terminal Applications" from local networks to any destination, but this does not seem to apply.
I have tried rules additional rules in top position, that should allow this traffic to pass, but to no avail. I really hope someone out there can help me out.
Screenshots of the config are attached to this post.

Thanks to everybody.
playersons


This thread was automatically locked due to age.
Parents
  • 0
    In the DNS Host "FRB", delete the binding to "Uplink interfaces" and leave the definition with 'Interface: >'.  I think that will solve your problem.

    I call it Rule #3:

    Never create a Host/Network definition bound to a specific interface.
    Always leave all definitions with 'Interface: >'.



    In the 'Remote Gateway' definition, there's a different "FRB" in 'Remote networks' - you might want to change the name of that definition to "FRB LAN" or something more representative.

    Cheers - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    In the DNS Host "FRB", delete the binding to "Uplink interfaces" and leave the definition with 'Interface: >'.  I think that will solve your problem.

    I call it Rule #3:

    Never create a Host/Network definition bound to a specific interface.
    Always leave all definitions with 'Interface: >'.



    In the 'Remote Gateway' definition, there's a different "FRB" in 'Remote networks' - you might want to change the name of that definition to "FRB LAN" or something more representative.

    Cheers - Bob



    Hi Bob,

    thank you very much for your assistance. Changing all interface definitions to > helped resolving the firewall issue with this connection.

    Unfortunately, I have a second site-2-site IPSec connection, where either the packets still get dropped by the firewall (TCP 8080) or there is no sign of traffic going anywhere (ICMP). I have checked all definitions and settings, they all look ok to me. The remote party has confirmed that they can see the tunnel getting established successfully with their Checkpoint Firewall and they can even see encrypted packets coming through the tunnel going to the hosts on their network.


    10:33:28 Default DROP TCP 10.20.100.144:43234→10.254.250.158:8080 [SYN] len=60 ttl=64 tos=0x10 srcmac=0:50:56:8e:c:98

    2013:02:07-10:34:43 vipsec ulogd[4500]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth0" srcmac="0:50:56:8e:c:98" srcip="10.20.100.144" dstip="10.254.250.158" proto="6" length="60" tos="0x10" prec="0x00" ttl="64" srcport="43235" dstport="8080" tcpflags="SYN" 

    These entries in the firewall only show up when I initiate the connectin from the UTM itself, but never when trying to connect from another host in our network.

    Could you possibly help me out with this one, too? I have attached all screen shots I could think of, please let me know if anything else is missing.

    Again, thank you very much for your valued attention and efforts.

    playersons
Reply
  • 0 in reply to BAlfson
    In the DNS Host "FRB", delete the binding to "Uplink interfaces" and leave the definition with 'Interface: >'.  I think that will solve your problem.

    I call it Rule #3:

    Never create a Host/Network definition bound to a specific interface.
    Always leave all definitions with 'Interface: >'.



    In the 'Remote Gateway' definition, there's a different "FRB" in 'Remote networks' - you might want to change the name of that definition to "FRB LAN" or something more representative.

    Cheers - Bob



    Hi Bob,

    thank you very much for your assistance. Changing all interface definitions to > helped resolving the firewall issue with this connection.

    Unfortunately, I have a second site-2-site IPSec connection, where either the packets still get dropped by the firewall (TCP 8080) or there is no sign of traffic going anywhere (ICMP). I have checked all definitions and settings, they all look ok to me. The remote party has confirmed that they can see the tunnel getting established successfully with their Checkpoint Firewall and they can even see encrypted packets coming through the tunnel going to the hosts on their network.


    10:33:28 Default DROP TCP 10.20.100.144:43234→10.254.250.158:8080 [SYN] len=60 ttl=64 tos=0x10 srcmac=0:50:56:8e:c:98

    2013:02:07-10:34:43 vipsec ulogd[4500]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth0" srcmac="0:50:56:8e:c:98" srcip="10.20.100.144" dstip="10.254.250.158" proto="6" length="60" tos="0x10" prec="0x00" ttl="64" srcport="43235" dstport="8080" tcpflags="SYN" 

    These entries in the firewall only show up when I initiate the connectin from the UTM itself, but never when trying to connect from another host in our network.

    Could you possibly help me out with this one, too? I have attached all screen shots I could think of, please let me know if anything else is missing.

    Again, thank you very much for your valued attention and efforts.

    playersons
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?