Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1969 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC Site to Site VPN Broken

RobertBradley
I have UTM 425 using ver 9.006-5.  I have recently upgraded the UTM to a rev. 5 hardware and upgraded to the latest version 9.006-5.  During the switch we noticed that eth0 was being used as UNTRUST and eth1 as TRUST so we just reassigned the hardware and made eth0 TRUST and eth1 as UNTRUST.

All was good in production and all of my site to site vpn's had been working.  Then one disconnected and I have not been able to get it back.  The netscreen and the Astaro are communicating but it never connects.  Astaro is stumped. 
 I noticed "ERROR: asynchronous network error report on eth1 for message to "remote ip address" port 500, complainant 67.16.132.214: No route to host [errno 113, origin ICMP type 11 code 0 (not authenticated)]"

I googled the error and noticed one person got this error when he had the wrong interface selected under "local interface"  so out of desperation I switched mine from UNTRUST to TRUST and the VPN connected?  Can't pass traffic but I am sure it is due to routes etc being messed up.  

I completely deleted the gateway and connection and rebuilt it from scratch thinking it would fix what ever is broken when we switched the eth0 and eth1 but it did not work.

Any thoughts???


This thread was automatically locked due to age.
Parents
  • 0
    Sorry, I don't understand the terminology TRUST/UNTRUST in the context of ASG/UTM.

    If the VPN appears to be connected, but no traffic passes, you might try what I call Rule #1 (enhanced):

    Whenever something seems strange, always check the Intrusion Prevention,
    Application Control and Firewall logs.


    Any luck with that?

    Cheers - Bob
Reply
  • 0
    Sorry, I don't understand the terminology TRUST/UNTRUST in the context of ASG/UTM.

    If the VPN appears to be connected, but no traffic passes, you might try what I call Rule #1 (enhanced):

    Whenever something seems strange, always check the Intrusion Prevention,
    Application Control and Firewall logs.


    Any luck with that?

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    To clear up the TRUST(private)/UNTRUST(public).  Prior to upgrading to latest version 9 on our UTM 425 we noticed someone had assigned eth0 as UNTRUST and eth1 as TRUST.  This really shouldn't matter but we changed the hardware so that eth0 is now TRUST and eth1 is now UNTRUST.  

    We finalize upgrade and put back into production and all is good for a few days.

    Then ONE site to site VPN broke.  Not sure if the other end reset or what but the VPN can't be reestablished.

    I was grasping for straws and change the VPN connection to use the TRUST interface and once I did this the VPN connects on both ends.  But traffic will not pass.  

    It is not correct to have the VPN use the TRUST interface to establish an external VPN so I need to fix it so it uses the UNTRUST interface again.

    I have turned off IPS and in tcpdump I see traffic flowing between the two units but can't connect.