Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 2021 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cisco VPN / additional Address

gomi
Hi there, 
I'm going slightly mad [:(] and i hope someone can help me.

I have a new location with an cable modem & UTM9. The only ip that i recieve from the modem is a dynamic ip (dhcp).
On the External (WAN) Interface i have two additional addresses (static ip's)- works fine i can connect to the internet and otherwise i can use webadmin. 

But now i need a vpn connection (Cisco VPN Client).
The "Server Adress" for the connection is one of the additional addresses.

I can ping the address, but ipsec did not react - the log is empty. (when i try a connection to the dynamic address (dhcp) it'is working).

I search & read in a thread that i can create a SNAT rule.
But i have no idea what i must use in 'traffic from' 'going to' (services are, i think the 4 ipsec-services) and 'change the source  to'
All 'experiments' gone wrong.

In the future i also need a site-to-site ipsec connection. 
im going nuts...

thank's for help.


This thread was automatically locked due to age.
  • 0
    Please click on [Go Advanced] below and attach a picture of your SNAT.  Does #1 in Rulz give you any clues?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    thanks for answering me bob.

    Intrusion Prevention ist deactivated
    Advanced Threat protection is empty

    im now totally confused and delete all my snat rules.. 
    i have no idea..... [:(]
  • 0
    Even if Intrusion Prevention is deactivated, there are other things recorded in that logfile - was it empty?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob, 
    Now i'm totally confused.... it work's
    let me try to explain:
    (the ip's are not the original ones)

    ~~
    Interfaces
    External (WAN) eth1 = dynamic IP per Example 70.70.70.70/27 (DHCP= cable modem)
    Additional Addresses = 80.80.80.45/30 and 80.80.80.46/30 bound to eth1 (public static ip's)

    Internal (LAN) eth0 = static 10.10.10.254/24
    ~~

    All clients must have the originating ip 80.80.80.45 (for identification to other firewalls)
    So i create a masquerading rule for Internal to External (Use adress 80.80.80.45) - work's fine..

    ~~

    Now i try to connect via cisco vpn client to the firewall - but only External is responding - not 80.80.80.80

    Now - i search and find your thread 
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/54689

    you wrote "You only should need SNAT as the inbound traffic only needs to get to the proper interface - the IP it arrives on is not considered."

    And this is confusing me and i try a snat-rule and another and another and nothing works....

    ~~

    today i see in the logs that packet filtering is blocking a ipsec request to 80.80.80.45 - so i create a rule 

    Any --> IPsec --> External (WAN) SWAN1 (80.80.80.45) / Allow - it work's!

    Additional i create 4 DNAT ( not SNAT!) rules:

    Any/IPsec-NAT-T/External (SWAN1 80.80.80.45) -->  External/IPsec-NAT-T
    Any/IPsec-IKE/External (SWAN1 80.80.80.45) -->  External/IPsec-IKE
    Any/IPsec-ESP/External (SWAN1 80.80.80.45) -->  External/IPsec-ESP
    Any/IPsec-AH/External (SWAN1 80.80.80.45) -->  External/IPsec-AH

    and now the vpn work's fine... 

    ~~~
    Can you tell me what do you mean with the SNAT rule?

    thx gomi ~ mike
  • 0
    Mike, please show a picture of the SNAT you tried.  Your DNATs could be replaced with one that uses the IPsec group of services and with leaving the destination service blank - see #5 in Rulz.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    sorry Bob  - but i do not remember... 
    i've tried every possible combination. - all deleted.
Unfiltered HTML