Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 2311 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site2Site SSL VPN showing connected but no communication

deltaline-IT
hai,

i have 3 location A, B and C
at location A and B
ISP>>Juniper >>Sophos>>LAN

here Public IP on Juniper Interface and all ports are forwarded to Sophos external IP and due to some reason could not establish IPSEC tunnel so we done Site2Site SSL VPN (Location A as server and Location B as client)

now site2site SSL VPN from location A (server) to Location C (client) 
location C has 4G modem which does not support bridge mode so i forward port ssl port 443 to External IP of Sophos UTM its showing connected but there is no communication from UTM to UTM at both site.

at HO which is act as server there is no entry at routing table of UTM for client network.

firewall rule and masquerading rule dont help..

any help...


This thread was automatically locked due to age.
  • 0
    Do you happen to have a graphic display of your setup of A, B and C? From your explanation it's not completely clear to me, especially the part about the port forwarding is unclear: Do you have the SSL ports of the 4G modem forwarded to the UTM at another site?

    BTW as you UTM is behind another router and you have ports forwarded, you would probably need to enter the UTM's private IP (it's own external IP-address) in the VPN ID (optional) field for IPSec to work (by default it will use your external public IP-address, but your UTM doesn't have this and therefore is not able to establish IPSec connection on that address).

    Managing several Sophos UTMs and Sophos XGs both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

    Sometimes I post some useful tips on my blog, see blog.pijnappels.eu/category/sophos/ for Sophos related posts.

  • 0 in reply to apijnappels
    thanks for you response...

    please check the attached graphical view of the network diagram...

    i had done IPSEC tunnel many times without any help long back so i created Site2Site SSL  tunnel between location A (server) and Location B (client) which is working fine more then 6 months now i need to configure location c 

    Note: location B which is already UP with Site2Site SSL has the same graphical view as Location A with Public IP on Juniper but only difference at location C is no Juniper , No public IP only few ports are forwarded to UTM external IP.

    i will try to do testing for IPSEC Tunnel today but only after working hours and update you as both UTM at location A and Location B  are behind juniper so i need to enter the UTM's private IP (it's own external IP-address) in the VPN ID (optional) field for IPSec to work.
    what in case of Site2Site SSL should i need to put the UTM's private IP at site2site>>SSL>>setting tab>>Override hostname: local UTM's private IP.


    ******what if in case HO respond only mode ( public IP) no option for VPN ID and branch with no static public IP has only option of VPN ID so i will give UTM's Private IP of Branch ?
  • 0
    I'm not sure I can help you with this, I don't have too much experience with the SSL site2site connections and most of all I don't know if you can have two sites connect to the same UTM server site. For this I hope someone else with more experience with SSL site2site will answer your question.

    What I do see however is that you're using 190.0.0.0/16 at one of your sites as LAN. This will most likely work, but it's not a RFC-1918 private IP-range. If you do have the opportunity it would be much better if you change this to 172.16.0.0/12 range (or 192.168.0.0/16 but I would choose the first for business environments).

    For the dynamic public IP you have at the 4G site, you could perhaps also use IPSEC but you would need te setup a Respond only IPSEC connection since the public IP is dynamically assigned. Certain providers do have dynamic IP's but it appears that you may keep your assigned IP-address for months (or even years). In such a case you could use this address in the setup and pretend it's a fixed address. However when the address does change in the future, your VPN-tunnel will drop and you will have to adjust this again.

    Managing several Sophos UTMs and Sophos XGs both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

    Sometimes I post some useful tips on my blog, see blog.pijnappels.eu/category/sophos/ for Sophos related posts.

  • 0
    It's possible to do this with IPsec, but easier with the SSL VPN.  The solution you need was explained by Gert Hansen here years ago: Routing mehrere VPN-Tunnel (in English).

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML