Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1606 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC Issue with 'any'

Cypher2102
Hello,

this is my first post here and i hope to get some help here.

I currently facing an issue with an IPSEC Connection using 'any' at one end.
There is a special Network at my remote Site B which has to use a encrypted connection to my main Site A in order to use the internetaccess there.
Thats why i have to use 'any' as encryption Domain at 'A'.

Please have a look at the Attachment to see my Setup and IPSEC-Settings.

If enabled, the connection comes up successfully.

But (here comes my Problem)....:
..im loosing connection to any other Devices in the Subnets at site B.
For Example: 'Different LANs A' cannot connect to 'Different LANs B' any more. The whole Site behind Firewall B is dead.

If i replace the 'any' with other local Subnets at 'A' everything is fine.
Unfortunately this does not match my needs. [:(]

We're using the the same Setup at other remote Sites. Everything works fine there using a linux system and strongswan in place of the UTM.
Only this UTM to UTM connection is giving me a headache.

Does anybody has a solution for this? Or maybe a hint what to do better?

Your help is greatly appreciated. Thank you.


This thread was automatically locked due to age.
  • 0
    Hi, Cypher, and welcome to the User BB!

    By using the "Any" object, you create a routing problem.  Replace that with the "Internet" object and the needed Site A subnets on both sides.  Although you really only need to do that in Site B, it's a good habit to do it the same in Site A.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hello Bob,

    thank you for your response. I admit i have never noticed the internet object before.
    I did as you said. I replaced both appearances of 'any' by 'internet'. Other subnets are not required. Devices in the special network should only have access to the internet and have to be seperated from other internal subnets for security reasons. Its used to be some kind of Guest-Hotspot for our visitors.

    Using 'internet' insead of 'any' did not change anything.
    I'm doing a ping from 'Different LANs A' to Differnet LANs B'. As soon as the IPSEC Connection comes up, the ping drops. The Ping-Target is located in a Subnet which is directly attached to the Firewall 'B'.

    I attached a updated 'setup-jpeg' including the new setup and some more infos about default gateways and internet object definitions.

    Unfortunately i can#t do any exteded analysis on this routingproblems because its a running system. I'm going to set up a testing environment but this can take quite a while.

    Again i had a look at the ipsec.log at site B and found the following lines.
    I wonder why there are new interfaces beeing added. This does not happen to site A. Is this correct? Even an error pops up.

    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: Starting IKEv1 pluto daemon (strongSwan 4.4.1git20100610) THREADS VENDORID CISCO_QUIRKS
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: loaded plugins: curl ldap aes des blowfish serpent twofish sha1 sha2 md5 random x509 pubkey pkcs1 pgp dnskey pem sqlite hmac gmp xauth attr attr-sql resolve 
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]:   including NAT-Traversal patch (Version 0.6c)
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: Using Linux 2.6 IPsec interface code
    2014:10:06-08:47:53 rllvdo1har01-2 ipsec_starter[11830]: pluto (11836) started after 20 ms
    2014:10:06-08:47:53 rllvdo1har01-1 ipsec_starter[15503]: Starting strongSwan 4.4.1git20100610 IPsec [starter]...
    2014:10:06-08:47:53 rllvdo1har01-1 pluto[15515]: Starting IKEv1 pluto daemon (strongSwan 4.4.1git20100610) THREADS VENDORID CISCO_QUIRKS
    2014:10:06-08:47:53 rllvdo1har01-1 pluto[15515]: loaded plugins: curl ldap aes des blowfish serpent twofish sha1 sha2 md5 random x509 pubkey pkcs1 pgp dnskey pem sqlite hmac gmp xauth attr attr-sql resolve 
    2014:10:06-08:47:53 rllvdo1har01-1 pluto[15515]:   including NAT-Traversal patch (Version 0.6c)
    2014:10:06-08:47:53 rllvdo1har01-1 pluto[15515]: Using Linux 2.6 IPsec interface code
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: HA system enabled and listening on interface eth2
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: Initial HA switch to master mode
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: loading ca certificates from '/etc/ipsec.d/cacerts'
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]:   loaded ca certificate from '/etc/ipsec.d/cacerts/REF_CaSigVpnSigniCa.pem'
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: loading aa certificates from '/etc/ipsec.d/aacerts'
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: Changing to directory '/etc/ipsec.d/crls'
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: loading attribute certificates from '/etc/ipsec.d/acerts'
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: listening for IKE messages
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: adding interface eth1.4089/eth1.4089 172.x.x.x:500
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: adding interface eth1.4089/eth1.4089 172.x.x.x:4500
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: adding interface eth1.4088/eth1.4088 10.29.252.1:500
  • 0
    Please click on [Go Advanced] below and attach pictures of the IPsec Connection and Remote Gateway definitions from both UTMs.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hello Bob,

    there is nothing else selected but the automatic Firewall Rules on both FW's.

    Both FW's 'Edit IPSEC connection'-Settings:
    (x) Automatic Firewall Rules
    () Strict Routing
    () Bind Tunnel to Local Interface


    Both FW's 'Edit Remote Gateway'-Settings:
    () Support Path MTU discovery
    () Support congestion signaling (ECN)
    ----------------------------------
    () Enable XAUTH client mode
  • 0
    We can't tell if that's just a regular part of the initial negotiation without seeing your configuration.  Even then, you may need to disable the IPsec Connection on both sides, start the IPsec Live Log on both sides and re-enable the IPsec Connections.  Let's wait to do that if there's nothing dispositive in your pictures.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML