Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 8677 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM Site-to-Site IPSec with a Cisco router

russco
Hi,

I'm totally new and a Sophos UTM newbie. We have a UTM 320 with firmware 9.103-5. We have it sitting on our LAN originally just to control our new APs, which works fine.

We now wish to use it to create a Site-to-Site IPSec VPN tunnel to a Cisco router at another site (managed by the ISP). Thing is, our local internet router (another cisco) is a managed service which connects 2 of our other sites as a Managed Private Network.

We've arranged our provider to open the local cisco so that our spare public IP address (xx.xx.xx.xx) is routed straight to the UTM's LAN IP (192.168.1.5). We then configured an IPsec tunnel (following instructions found on the Sophos website) on the UTM, then arranged our remote provider to configure their Cisco router to create a compatible tunnel (Remote WAN IP yy.yy.yy.yy).

The UTM reports that the tunnel is UP, but neither side can ping anything on the internal LANs. Below is the IPsec log for the UTM. Is there anything obvious that needs to be re-configured on the UTM side, as the remote provider is confident they've configured their end correctly? Please let me know if you require anything else such as UTM config screenshots, etc.

Thanks in advance.



2013:07:10-23:50:32 BNE-SVR-UTM-1 ipsec_starter[29004]: Starting strongSwan 4.4.1git20100610 IPsec [starter]...
2013:07:10-23:50:32 BNE-SVR-UTM-1 pluto[29016]: Starting IKEv1 pluto daemon (strongSwan 4.4.1git20100610) THREADS VENDORID CISCO_QUIRKS
2013:07:10-23:50:32 BNE-SVR-UTM-1 ipsec_starter[29010]: pluto (29016) started after 20 ms
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: loaded plugins: curl ldap aes des blowfish serpent twofish sha1 sha2 md5 random x509 pubkey pkcs1 pgp dnskey pem sqlite hmac gmp xauth attr attr-sql resolve
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: including NAT-Traversal patch (Version 0.6c)
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: Using Linux 2.6 IPsec interface code
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: loading ca certificates from '/etc/ipsec.d/cacerts'
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem'
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: loading aa certificates from '/etc/ipsec.d/aacerts'
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: Changing to directory '/etc/ipsec.d/crls'
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: loading attribute certificates from '/etc/ipsec.d/acerts'
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: listening for IKE messages
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: adding interface wlan1/wlan1 10.10.10.1:500
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: adding interface wlan1/wlan1 10.10.10.1:4500
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: adding interface tun0/tun0 10.242.2.1:500
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: adding interface tun0/tun0 10.242.2.1:4500
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: adding interface eth0/eth0 xx.xx.xx.xx:500
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: adding interface eth0/eth0 xx.xx.xx.xx:4500
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: adding interface eth0/eth0 192.168.1.5:500
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: adding interface eth0/eth0 192.168.1.5:4500
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: adding interface lo/lo 127.0.0.1:500
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: adding interface lo/lo 127.0.0.1:4500
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: adding interface lo/lo ::1:500
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: loading secrets from "/etc/ipsec.secrets"
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: loaded PSK secret for 192.168.1.5 yy.yy.yy.yy
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: added connection description "S_MDR_IPsec"
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: "S_MDR_IPsec" #1: initiating Main Mode
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: "S_MDR_IPsec" #1: received Vendor ID payload [RFC 3947]
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: "S_MDR_IPsec" #1: enabling possible NAT-traversal with method 3
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: "S_MDR_IPsec" #1: ignoring Vendor ID payload [Cisco-Unity]
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: "S_MDR_IPsec" #1: received Vendor ID payload [Dead Peer Detection]
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: "S_MDR_IPsec" #1: ignoring Vendor ID payload [34eb3fa394a0a20641de48601ffac7f6]
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: "S_MDR_IPsec" #1: received Vendor ID payload [XAUTH]
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: "S_MDR_IPsec" #1: NAT-Traversal: Result using RFC 3947: i am NATed
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: | protocol/port in Phase 1 ID Payload is 17/0. accepted with port_floating NAT-T
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: "S_MDR_IPsec" #1: Peer ID is ID_IPV4_ADDR: 'yy.yy.yy.yy'
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: "S_MDR_IPsec" #1: Dead Peer Detection (RFC 3706) enabled
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: "S_MDR_IPsec" #1: ISAKMP SA established
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: "S_MDR_IPsec" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1}
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: "S_MDR_IPsec" #1: ignoring informational payload, type IPSEC_RESPONDER_LIFETIME
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: "S_MDR_IPsec" #2: ignoring informational payload, type IPSEC_RESPONDER_LIFETIME
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: id="2203" severity="info" sys="SecureNet" sub="vpn" event="Site-to-site VPN up" variant="ipsec" connection="MDR_IPsec" address="192.168.1.5" local_net="192.168.1.0/24" remote_net="192.168.2.0/24"
2013:07:10-23:50:41 BNE-SVR-UTM-1 pluto[29016]: "S_MDR_IPsec" #2: sent QI2, IPsec SA established {ESP=>0x56ed7357 


This thread was automatically locked due to age.
  • 0
    Hi,
    1. did you create firewall rules?

    2. make sure the ping settings are enabled on the ICMP settings under Network Protection - PacketFilter - ICMP.

    3. I'm not sure what that asynchronous error means, but make sure the settings are identical on both ends.

    Barry
  • 0
    Hi Barry,  Thanks for your response. 

     1. No firewall rules as yet. What would you recommend? 

    2. I'll check that out shortly

    3. We're 99% sure the details at both ends match.
  • 0
    1. Correction: except for the "auto" firewall rules. We haven't created any manually.
  • 0
    Auto rules should be OK, but check the ICMP settings, and check the firewall and IPS logs.

    Barry
  • 0 in reply to BarryG
    The ICMP ping setting seem intact (see attached screenshot). In the firewall logs, nothing seems to be getting dropped relating to the VPN tunnel traffic.

    Does it matter that we've only got the one Network Interface defined (eth0 for Internal Network)? I've read that another Network Interface should be defined (eg. eth1) for the local WAN connection, but Im not sure how that can be achieved if the WAN modem is not plugged directly into the UTM eth1.
  • 0
    I'm not sure if VPNs can work with a single NIC.

    Barry
  • 0
    It looks like it's not getting to Phase2. Probably a mis-matched configuration.

    Barry
  • 0
    With your ASG behind a NATting router, youre going to get that drop as soon as the other side realizes that you're signing your packets with 192.168.1.5 instead of the public IP it expects.  At present, the UTM offers no way to solve this problem on your side.  The Cisco on the other side needs to be adjusted.

    If the situation were reversed, with the ASG were at the edge with a public IP and the Cisco were behind a NAT, you could configure the Remote Gateway definition for the Cisco as "Respond Only" as a quick-fix.  The other option would be to define it with 'VPN ID type: IP Address' and indicate in the ID the private IP of the Cisco.  Maybe someone else knows how to configure the Cisco to do one of these things.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML