Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 2089 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site2Site troubles, all connects fine, but no data is coming though

mvrasmussen
Hello

I'm on the last leg trying to connect my CentOS based firewall to my ASG v8 via OpenVPN

The connection itself goes just fine, the openvpn reports connect successfull and the Astato/Sophos gives the green light for the connection, 
but if i try pinging/connecting to something on the LAN net of the asg, nothing gets through.

In my existing setup between two openvpn's the network is consisting of 2 peer ip's in the same range

But with the ASG it is introducing an peer ip in the 10.242 range

From my openvpn routes: 

10.242.2.1      0.0.0.0         255.255.255.255 UH    0      0        0 tun0

192.168.0.0     10.242.2.1      255.255.255.0   UG    0      0        0 tun0

84.*.*.*        10.242.2.1      255.255.255.0   UG    0      0        0 tun0


and ip configuration: 
8: tun0:  mtu 1500 qdisc pfifo_fast qlen 100

    link/[65534] 

    inet 10.4.0.1 peer 10.242.2.1/32 scope global tun0

Screenshots from the utm is also included

Anyone have a suggestion what to do?


This thread was automatically locked due to age.
  • 0
    Hi, mv,

    I'm not sure what you mean by, "In my existing setup between two openvpn's the network is consisting of 2 peer ip's in the same range."

    I'm not sure why you selected the static IP - is the 10.242.1.0/24 subnet in use already on the CentOS side?  The Astaro SSL VPN usually just picks an IP out of that range.

    Just to confirm - the endpoint of the Tunnel on the Astaro side is in one of the local networks (DMZ)?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hey

    I'm not sure why you selected the static IP - is the 10.242.1.0/24 subnet in use already on the CentOS side? The Astaro SSL VPN usually just picks an IP out of that range.

    It was just to try something, it does not make a difference

    With the old CentOS->CentOS OpenVPN setup it's just defined as  
    ifconfig 10.4.0.1 10.4.0.2
     in the openvpn config

    Now, the network is configured by the PUSH message coming from the ASG

    The network here (Office/Kontor - 192.168.12.0/24) should have access to both networks on the ASG site, DMZ (84.*/24) and the LAN (192.168.0.0/24)

    Thanks for your time
    Mads
  • 0
    Is it possible that the devices in the ASG site still have the IP of the CentOS device as default gateway instead of the IP of the ASG?  A quick, temporary fix for that is to add masq rules like 'Kontor Network -> DMZ' and 'Kontor Network -> Internal'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    The ASG is beeing inserted instead of the CentOS when the switch is made.

    I'm testing with a local setup for troubleshooting

    Everything else works, firewalling, nat - it's only the Site2Site vpn with our office that fails when trying.

    MASQ is not good, especially the machines in the LAN network on the ASG site should be able to see where the request are coming from in the 192.168.12.0 network on the Kontor site.
  • 0
    MASQ is not good

    I agree, but this is a quick way to see if you have a problem, and a good temporary solution until the problem is resolved.

    Also, please confirm that you have pinging configured on the 'ICMP' tab in 'Firewall'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Tried the MASQ with no luck

    And yes, all the boxes are checked in the ICMP tab, that was the first place i checked

    Could it be anything with i have PROXYARP defined for my interfaces on the ASG?
  • 0
    I have to admit that in the eight years I've been doing Astaro, I've never seen a situation where Proxy ARP was needed.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?