Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1966 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC Site to Site VPN Broken

RobertBradley
I have UTM 425 using ver 9.006-5.  I have recently upgraded the UTM to a rev. 5 hardware and upgraded to the latest version 9.006-5.  During the switch we noticed that eth0 was being used as UNTRUST and eth1 as TRUST so we just reassigned the hardware and made eth0 TRUST and eth1 as UNTRUST.

All was good in production and all of my site to site vpn's had been working.  Then one disconnected and I have not been able to get it back.  The netscreen and the Astaro are communicating but it never connects.  Astaro is stumped. 
 I noticed "ERROR: asynchronous network error report on eth1 for message to "remote ip address" port 500, complainant 67.16.132.214: No route to host [errno 113, origin ICMP type 11 code 0 (not authenticated)]"

I googled the error and noticed one person got this error when he had the wrong interface selected under "local interface"  so out of desperation I switched mine from UNTRUST to TRUST and the VPN connected?  Can't pass traffic but I am sure it is due to routes etc being messed up.  

I completely deleted the gateway and connection and rebuilt it from scratch thinking it would fix what ever is broken when we switched the eth0 and eth1 but it did not work.

Any thoughts???


This thread was automatically locked due to age.
Parents
  • 0
    The normal terminology used in the Sophos community is "Internal/External" (not "TRUST/UNTRUST" and not "private/public"), so you will be able to communicate more clearly here and with Sophos Support if you change the names of the interfaces to "Internal" and "External."  Don't worry, WebAdmin makes this change globally as the internal name for each object doesn't change, just the label by which you know the object.

    It is possible for traffic to reach an interface and for it to not go through the UTM even though you see it with tcpdump.  Please check the logs I suggested.  There are other things recorded there in addition to what you are assuming.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    The normal terminology used in the Sophos community is "Internal/External" (not "TRUST/UNTRUST" and not "private/public"), so you will be able to communicate more clearly here and with Sophos Support if you change the names of the interfaces to "Internal" and "External."  Don't worry, WebAdmin makes this change globally as the internal name for each object doesn't change, just the label by which you know the object.

    It is possible for traffic to reach an interface and for it to not go through the UTM even though you see it with tcpdump.  Please check the logs I suggested.  There are other things recorded there in addition to what you are assuming.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML