Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 2222 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

S2S VPN IPSec UTM9/Openswann problem

Reuter_01
Hello,

We took up a VPN with a partner between a Sophos UTM 9 and firewall under Openswann.

This VPN seems totally functional for us and for our partner (No IPSec errors) but we cannot reach the web application they host.

The most disturbing, it's because when they make a ping on a machine in our LAN, we succeed in reaching the application but only in that case! As soon as they stop the ping, the application is not accessible any more.

We don't understand any more and look in vain for a solution for weeks...

Here is the topology of the VPN:

192.168.8.0/22 - > 83.X.Y.Z ( public IP) - > 195. X.Y.Z (public IP) - 10.107.10.0/25

192.168.8.0/22 is our LAN and 10.107.10.0/25 is their LAN.

IPSec policy :

IKE encryption algorithm: 3DES
IKE authentication algorithm: SHA1
IKE SA lifetime: 28800
IKE DH group: Group2 MODP 1024

IPsec encryption algorithm: 3DES
IPsec authentication algorithm: SHA1
IPsec SA lifetime: 3600
IPsec PFS group: Group2 : MODP 1024

Strict policy NO
Compression NO

I hope you can tell me where we are wrong...

Thanks !

Reuter

PS : Tell me if you need more details...


This thread was automatically locked due to age.
  • 0
    Last IPSec logs :

    2014:08:12-14:08:52 asg320-1 pluto[6990]: "S_VPN_B***x": deleting connection
    2014:08:12-14:08:52 asg320-1 pluto[6990]: "S_VPN_B***x" #100524: deleting state (STATE_QUICK_I2)
    2014:08:12-14:08:52 asg320-2 pluto[7015]: id="2204" severity="info" sys="SecureNet" sub="vpn" event="Site-to-site VPN down" variant="ipsec" connection="VPN_B***x" address="83.X.Y.Z" local_net="192.168.8.0/22" remote_net="10.107.10.0/25"
    2014:08:12-14:08:52 asg320-1 pluto[6990]: id="2204" severity="info" sys="SecureNet" sub="vpn" event="Site-to-site VPN down" variant="ipsec" connection="VPN_B***x" address="83.X.Y.Z" local_net="192.168.8.0/22" remote_net="10.107.10.0/25"
    2014:08:12-14:08:52 asg320-1 pluto[6990]: "S_VPN_B***x" #100523: deleting state (STATE_MAIN_I4)
    2014:08:12-14:08:52 asg320-2 pluto[7015]: "S_VPN_B***x": deleting connection
    2014:08:12-14:08:54 asg320-2 pluto[7015]: added connection description "S_VPN_B***x"
    2014:08:12-14:08:54 asg320-1 pluto[6990]: added connection description "S_VPN_B***x"
    2014:08:12-14:08:54 asg320-1 pluto[6990]: "S_VPN_B***x" #100525: initiating Main Mode
    2014:08:12-14:08:54 asg320-1 pluto[6990]: "S_VPN_B***x" #100525: ignoring Vendor ID payload [4f4576795c6b677a57715c73]
    2014:08:12-14:08:54 asg320-1 pluto[6990]: "S_VPN_B***x" #100525: received Vendor ID payload [Dead Peer Detection]
    2014:08:12-14:08:54 asg320-1 pluto[6990]: "S_VPN_B***x" #100525: received Vendor ID payload [RFC 3947]
    2014:08:12-14:08:54 asg320-1 pluto[6990]: "S_VPN_B***x" #100525: enabling possible NAT-traversal with method 3
    2014:08:12-14:08:54 asg320-1 pluto[6990]: "S_VPN_B***x" #100525: NAT-Traversal: Result using RFC 3947: no NAT detected
    2014:08:12-14:08:54 asg320-1 pluto[6990]: "S_VPN_B***x" #100525: Peer ID is ID_IPV4_ADDR: '195.X.Y.Z'
    2014:08:12-14:08:54 asg320-1 pluto[6990]: "S_VPN_B***x" #100525: Dead Peer Detection (RFC 3706) enabled
    2014:08:12-14:08:54 asg320-1 pluto[6990]: "S_VPN_B***x" #100525: ISAKMP SA established
    2014:08:12-14:08:54 asg320-1 pluto[6990]: "S_VPN_B***x" #100526: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#100525}
    2014:08:12-14:08:55 asg320-1 pluto[6990]: id="2203" severity="info" sys="SecureNet" sub="vpn" event="Site-to-site VPN up" variant="ipsec" connection="VPN_B***x" address="83.X.Y.Z" local_net="192.168.8.0/22" remote_net="10.107.10.0/25"
    2014:08:12-14:08:55 asg320-1 pluto[6990]: "S_VPN_Boreus" #100526: sent QI2, IPsec SA established {ESP=>0x74f2902f 
  • 0
    Hello everybody,

    Apparently my problem leaves you perplexed:-(

    Here is the message which I obtain every time I restart the VPN:

    Ipsec_starter [6981]: no default cannot cope with %defaultroute route-!!!

    ipsec_starter[6981]: no default route - cannot cope with %defaultroute!!!

    Maybe it can help to understand... I'm going crazy with this link... :-(

    Thanks

    Reuter
  • 0
    Hi, Reuter, and welcome to the User BB!

    It looks like they have two 320s in High Availability.  I suspect that the problem is on the 320 side and that the Host definition in the 320 for the server violates #3 in Rulz.

    If that wasn't it, then, since your last post is something from StrongSWAN, posting on their boards might help.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML