Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 12980 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Newbie Site-to-Site VPN Sophos v9 with Cisco 1941 router trouble!

notify.sina
Hi All! 

Please I have some trouble getting cisco and Sophos UTM v9 to send and receive traffic over A vpn I setup. The tunnel is up which is great (green in astaro and good isakmp ipsec status in Cisco), but I can't seem to send traffic to either side.

The devices are close on the same subnet externally, so I hope this isn't a problem?
Astaro internal: 192.168.2.0/24
Astaro external: 62.1.1.50

Cisco 1941 internal: 192.168.20.0/24
Cisco 1941 external: 62.1.1.122

Please see below my configurations and outputs, and please help!

From Astaro ipsec status I have:

 ipsec status | grep -i THEIRS
000 "S_REF_IpsSitTHEIRSmmo_0": 192.168.2.0/24===62.1.1.50[62.1.1.50]...62.1.1.122[62.1.1.122]===192.168.20.0/24; erouted; eroute owner: #81931
000 "S_REF_IpsSitTHEIRSmmo_0":   newest ISAKMP SA: #81930; newest IPsec SA: #81931; 
000 #81931: "S_REF_IpsSitTHEIRSmmo_0" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 84046s; newest IPSEC; eroute owner
000 #81931: "S_REF_IpsSitTHEIRSmmo_0" esp.f060294b@62.1.1.122 (672 bytes, 1064s ago) esp.8fe37822@62.1.1.50 (0 bytes); tunnel
000 #81930: "S_REF_IpsSitTHEIRSmmo_0" STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 83620s; newest ISAKMP


From tcpdump on Astaro:

10:17:55.932774 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 112) 62.1.1.50.500 > 62.1.1.122.500: isakmp 1.0 msgid : phase 2/others I inf[E]: [encrypted hash]
10:17:55.934349 IP (tos 0x0, ttl 254, id 3357, offset 0, flags [none], proto UDP (17), length 112) 62.1.1.122.500 > 62.1.1.50.500: isakmp 1.0 msgid : phase 2/others R inf[E]: [encrypted hash]
10:18:25.380016 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 112) 62.1.1.50.500 > 62.1.1.122.500: isakmp 1.0 msgid : phase 2/others I inf[E]: [encrypted hash]
10:18:25.381717 IP (tos 0x0, ttl 254, id 3358, offset 0, flags [none], proto UDP (17), length 112) 62.1.1.122.500 > 62.1.1.50.500: isakmp 1.0 msgid : phase 2/others R inf[E]: [encrypted hash]

10:18:55.938298 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 112) 62.1.1.50.500 > 62.1.1.122.500: isakmp 1.0 msgid : phase 2/others I inf[E]: [encrypted hash]
10:18:55.939912 IP (tos 0x0, ttl 254, id 3359, offset 0, flags [none], proto UDP (17), length 112) 62.1.1.122.500 > 62.1.1.50.500: isakmp 1.0 msgid : phase 2/others R inf[E]: [encrypted hash]


 
This is my Cisco 1941 configuration:

!         
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key ****** address 62.1.1.50
!
!         
crypto ipsec transform-set TS-MY esp-3des esp-md5-hmac 
!         
crypto map MYMAP 10 ipsec-isakmp 
 set peer 62.1.1.50
 set transform-set TS-MY 
 match address MY-VPN-TRAFFIC
!
!         
!
!         
interface GigabitEthernet0/0
 description WAN CONNECTION 
 ip address 62.1.1.124 255.255.255.248 secondary
 ip address 62.1.1.123 255.255.255.248 secondary
 ip address 62.1.1.122 255.255.255.248
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 crypto map MYMAP
!
ip nat inside source list 100 interface GigabitEthernet0/0 overload
!
!
ip route 192.168.2.0 255.255.255.0 GigabitEthernet0/0
!
ip access-list extended MY-VPN-TRAFFIC
 permit ip 192.168.20.0 0.0.0.255 192.168.2.0 0.0.0.255
!         
access-list 1 permit 192.168.20.0 0.0.0.255
access-list 100 permit ip 192.168.20.0 0.0.0.255 192.168.2.0 0.0.0.255


This thread was automatically locked due to age.
Parents
  • 0
    I don't think its the firewall dropping, I'm really leaning towards a problem from the cisco 1941 router. I checked in the "Automatic Firewall Rule" box in the Connections Tab for that VPN.
    This is the route Sophos creates:
    ip route | grep 192.168.20
    192.168.20.0/24 dev eth1  proto ipsec  scope link  src 192.168.2.253 
     
    From a host behind the Sophos UTM, traffic seems trying to exit via the VPN:

     tracepath 192.168.20.2
     1:  confmgr.qrios.com (192.168.2.56)                       0.246ms pmtu 1500
     1:  gateway.qrios.com (192.168.2.253)                      1.441ms
     1:  gateway.qrios.com (192.168.2.253)                      0.826ms
     2:  gateway.qrios.com (192.168.2.253)                      0.696ms pmtu 1446
     2:  no reply
     3:  no reply
     4:  no reply
     5:  no reply
     6:  no reply
     7:  no reply
     8:  no reply

    From a host behind the cisco 1941 unit it doesnt seem normal:
     traceroute 192.168.2.253
    traceroute to 192.168.2.253 (192.168.2.253), 30 hops max, 60 byte packets
     1  gateway.fortismmoney.com (192.168.20.1)  1.422 ms  1.402 ms  1.645 ms
     2  32-121.rv.ipnxmediahosting.com (62.173.32.121)  2.819 ms  2.989 ms  3.131 ms
     3  34-225.rv.ipnxtelecoms.com (62.173.34.225)  1.636 ms  1.671 ms  2.149 ms
     4  35-101.rv.ipnxtelecoms.com (62.173.35.101)  2.240 ms  2.244 ms  2.234 ms
     5  41-184-56-17.rv.ipnxtelecoms.com (41.184.56.17)  2.325 ms  2.440 ms  2.482 ms
     6  35-161.rv.ipnxtelecoms.com (62.173.35.161)  2.208 ms  1.283 ms  1.264 ms
     7  10.165.1.66 (10.165.1.66)  1.448 ms  1.456 ms  1.503 ms
     8  * * *
     9  * * *
    10  * * *
    11  * * *
    12  * * *
    13  * * *
Reply
  • 0
    I don't think its the firewall dropping, I'm really leaning towards a problem from the cisco 1941 router. I checked in the "Automatic Firewall Rule" box in the Connections Tab for that VPN.
    This is the route Sophos creates:
    ip route | grep 192.168.20
    192.168.20.0/24 dev eth1  proto ipsec  scope link  src 192.168.2.253 
     
    From a host behind the Sophos UTM, traffic seems trying to exit via the VPN:

     tracepath 192.168.20.2
     1:  confmgr.qrios.com (192.168.2.56)                       0.246ms pmtu 1500
     1:  gateway.qrios.com (192.168.2.253)                      1.441ms
     1:  gateway.qrios.com (192.168.2.253)                      0.826ms
     2:  gateway.qrios.com (192.168.2.253)                      0.696ms pmtu 1446
     2:  no reply
     3:  no reply
     4:  no reply
     5:  no reply
     6:  no reply
     7:  no reply
     8:  no reply

    From a host behind the cisco 1941 unit it doesnt seem normal:
     traceroute 192.168.2.253
    traceroute to 192.168.2.253 (192.168.2.253), 30 hops max, 60 byte packets
     1  gateway.fortismmoney.com (192.168.20.1)  1.422 ms  1.402 ms  1.645 ms
     2  32-121.rv.ipnxmediahosting.com (62.173.32.121)  2.819 ms  2.989 ms  3.131 ms
     3  34-225.rv.ipnxtelecoms.com (62.173.34.225)  1.636 ms  1.671 ms  2.149 ms
     4  35-101.rv.ipnxtelecoms.com (62.173.35.101)  2.240 ms  2.244 ms  2.234 ms
     5  41-184-56-17.rv.ipnxtelecoms.com (41.184.56.17)  2.325 ms  2.440 ms  2.482 ms
     6  35-161.rv.ipnxtelecoms.com (62.173.35.161)  2.208 ms  1.283 ms  1.264 ms
     7  10.165.1.66 (10.165.1.66)  1.448 ms  1.456 ms  1.503 ms
     8  * * *
     9  * * *
    10  * * *
    11  * * *
    12  * * *
    13  * * *
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML