Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 3325 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG220 9.2 and Cisco ASA

Dilster
I'm getting desperate now. I have an ASG220 with firmware version 9.201-25. I am trying to get the site to site VPN working between the ASG220 and Cisco ASA 5520. From the logs on both ends the ISAKMP and IPSEC tunnel is established at both ends. On the Cisco side I see packets encaps and packets decaps but also see packets not compressed. The packets not compressed is equal to the packets encaps. Now when I try to ping either end of the Tunnel it fails at both ends. I know the ASA side is setup correctly because I am really good with ASAs and have setup many others on this ASA. I know the problem is on the ASG but cannot seem to get it working. I seen another post on here about getting it to work by adding a SNAP, but when I tried that it did not work either. 

Is there any way someone out there can help me work through this problem? 

Thanks for any help!


This thread was automatically locked due to age.
  • 0
    Hi, Dilster, and welcome to the User BB!

    Pinging is regulated on the 'ICMP' tab of 'Network Protection >> Firewall'.  Is any other traffic failing to transit the tunnel?

    On the Cisco side I see packets encaps and packets decaps but also see packets not compressed. The packets not compressed is equal to the packets encaps.

    Is this a problem, or did you mention it thinking it might relate to the ping issue?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I have the ICMP on that tab enabled. I have to route all traffic through the tunnel to the ASA. So even if it is web traffic it goes through the ASA. This way we just have one public shown to the outside world. I tried calling Sophos tech support and they don't seem to know Enterprise setups very well. 

    Any help would be appreciated!
  • 0
    Sorry, I still don't understand your issue.  Please click on [Go Advanced] and attach pictures of the Edits of the IPsec Connection and Remote Gateway definitions.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Not able to ping between sites through VPN. I have attached the VPN info.
  • 0
    First, replace "Any" in the Remote Gateway with what corresponds to 'Local networks' in the ASA.  If you really intend for all traffic to go through the tunnel, use the "Internet" object plus any of the ASA's LANs your "test" subnet should access. Does that change the behavior?  If not, can you confirm that all of the boxes are checked on the 'ICMP' tab?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I have all boxes checked in ICMP tab. I probably should tell you the subnets at both ends. The sophos end has subnet 10.240.0.0/16. On the ASA side it has all other /16 subnets in which most are also tunnels (10.***.0.0/16). Does that make sense to you.
  • 0
    I tried internet and remote subnets still no ICMP between sites.
  • 0
    Let's try #1 in Rulz.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Bob,

    Thanks for your help on this. I was never able to get the VPN to work properly. Sophos support when I called in was basic to say the least. I have decided not to use Sophos, but thanks again for trying.

    Todd
Unfiltered HTML