Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 8085 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec Site to Site VPN - no traffic

jpvj
Hi,

I am trying to configure site to site VPN between an Sophos UTM 9.006_5 on site "A" against a WatchGuard on site "B".

Right after the initial configuration, I was able to ping an IP address on the remote subnet. The day after it stopped and has never worked ever since.

Nothing was changed on the Astaro and the "other guy" claims nothing was changed on the WatchGuard. 

Both firewalls shows the tunnel is up, but neither can ping to the other side.

I am quite sure all parameters for main and quick mode is correct (checked multiple times) but I cannot seem to spot the problem.

I enabled debug logging and collected this log from the ASG. Hope someone can provide some input.

Thx.


This thread was automatically locked due to age.
ASG.zip
Parents
  • 0
    Intrusion Prevension is disabled.

    Yes, but is Anti-DoS Flooding disabled?  I suggested looking in the Intrusion Prevention log because I'm concerned about UDP flood blocks with IPsec VPNs.

    PS: We are just using DNAT to publish servers (like SMTP, RDP).

    If you're trying to offer a server at site B via a public IP at site A, you need a Full NAT at site A instead of a DNAT.  Just define it like your DNAT, but change the Source to "Internal (Address)" because that's in the tunnel and "Internet" is not!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Intrusion Prevension is disabled.

    Yes, but is Anti-DoS Flooding disabled?  I suggested looking in the Intrusion Prevention log because I'm concerned about UDP flood blocks with IPsec VPNs.

    PS: We are just using DNAT to publish servers (like SMTP, RDP).

    If you're trying to offer a server at site B via a public IP at site A, you need a Full NAT at site A instead of a DNAT.  Just define it like your DNAT, but change the Source to "Internal (Address)" because that's in the tunnel and "Internet" is not!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML