Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1608 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC Issue with 'any'

Cypher2102
Hello,

this is my first post here and i hope to get some help here.

I currently facing an issue with an IPSEC Connection using 'any' at one end.
There is a special Network at my remote Site B which has to use a encrypted connection to my main Site A in order to use the internetaccess there.
Thats why i have to use 'any' as encryption Domain at 'A'.

Please have a look at the Attachment to see my Setup and IPSEC-Settings.

If enabled, the connection comes up successfully.

But (here comes my Problem)....:
..im loosing connection to any other Devices in the Subnets at site B.
For Example: 'Different LANs A' cannot connect to 'Different LANs B' any more. The whole Site behind Firewall B is dead.

If i replace the 'any' with other local Subnets at 'A' everything is fine.
Unfortunately this does not match my needs. [:(]

We're using the the same Setup at other remote Sites. Everything works fine there using a linux system and strongswan in place of the UTM.
Only this UTM to UTM connection is giving me a headache.

Does anybody has a solution for this? Or maybe a hint what to do better?

Your help is greatly appreciated. Thank you.


This thread was automatically locked due to age.
Parents
  • 0
    Hello Bob,

    thank you for your response. I admit i have never noticed the internet object before.
    I did as you said. I replaced both appearances of 'any' by 'internet'. Other subnets are not required. Devices in the special network should only have access to the internet and have to be seperated from other internal subnets for security reasons. Its used to be some kind of Guest-Hotspot for our visitors.

    Using 'internet' insead of 'any' did not change anything.
    I'm doing a ping from 'Different LANs A' to Differnet LANs B'. As soon as the IPSEC Connection comes up, the ping drops. The Ping-Target is located in a Subnet which is directly attached to the Firewall 'B'.

    I attached a updated 'setup-jpeg' including the new setup and some more infos about default gateways and internet object definitions.

    Unfortunately i can#t do any exteded analysis on this routingproblems because its a running system. I'm going to set up a testing environment but this can take quite a while.

    Again i had a look at the ipsec.log at site B and found the following lines.
    I wonder why there are new interfaces beeing added. This does not happen to site A. Is this correct? Even an error pops up.

    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: Starting IKEv1 pluto daemon (strongSwan 4.4.1git20100610) THREADS VENDORID CISCO_QUIRKS
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: loaded plugins: curl ldap aes des blowfish serpent twofish sha1 sha2 md5 random x509 pubkey pkcs1 pgp dnskey pem sqlite hmac gmp xauth attr attr-sql resolve 
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]:   including NAT-Traversal patch (Version 0.6c)
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: Using Linux 2.6 IPsec interface code
    2014:10:06-08:47:53 rllvdo1har01-2 ipsec_starter[11830]: pluto (11836) started after 20 ms
    2014:10:06-08:47:53 rllvdo1har01-1 ipsec_starter[15503]: Starting strongSwan 4.4.1git20100610 IPsec [starter]...
    2014:10:06-08:47:53 rllvdo1har01-1 pluto[15515]: Starting IKEv1 pluto daemon (strongSwan 4.4.1git20100610) THREADS VENDORID CISCO_QUIRKS
    2014:10:06-08:47:53 rllvdo1har01-1 pluto[15515]: loaded plugins: curl ldap aes des blowfish serpent twofish sha1 sha2 md5 random x509 pubkey pkcs1 pgp dnskey pem sqlite hmac gmp xauth attr attr-sql resolve 
    2014:10:06-08:47:53 rllvdo1har01-1 pluto[15515]:   including NAT-Traversal patch (Version 0.6c)
    2014:10:06-08:47:53 rllvdo1har01-1 pluto[15515]: Using Linux 2.6 IPsec interface code
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: HA system enabled and listening on interface eth2
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: Initial HA switch to master mode
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: loading ca certificates from '/etc/ipsec.d/cacerts'
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]:   loaded ca certificate from '/etc/ipsec.d/cacerts/REF_CaSigVpnSigniCa.pem'
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: loading aa certificates from '/etc/ipsec.d/aacerts'
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: Changing to directory '/etc/ipsec.d/crls'
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: loading attribute certificates from '/etc/ipsec.d/acerts'
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: listening for IKE messages
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: adding interface eth1.4089/eth1.4089 172.x.x.x:500
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: adding interface eth1.4089/eth1.4089 172.x.x.x:4500
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: adding interface eth1.4088/eth1.4088 10.29.252.1:500
Reply
  • 0
    Hello Bob,

    thank you for your response. I admit i have never noticed the internet object before.
    I did as you said. I replaced both appearances of 'any' by 'internet'. Other subnets are not required. Devices in the special network should only have access to the internet and have to be seperated from other internal subnets for security reasons. Its used to be some kind of Guest-Hotspot for our visitors.

    Using 'internet' insead of 'any' did not change anything.
    I'm doing a ping from 'Different LANs A' to Differnet LANs B'. As soon as the IPSEC Connection comes up, the ping drops. The Ping-Target is located in a Subnet which is directly attached to the Firewall 'B'.

    I attached a updated 'setup-jpeg' including the new setup and some more infos about default gateways and internet object definitions.

    Unfortunately i can#t do any exteded analysis on this routingproblems because its a running system. I'm going to set up a testing environment but this can take quite a while.

    Again i had a look at the ipsec.log at site B and found the following lines.
    I wonder why there are new interfaces beeing added. This does not happen to site A. Is this correct? Even an error pops up.

    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: Starting IKEv1 pluto daemon (strongSwan 4.4.1git20100610) THREADS VENDORID CISCO_QUIRKS
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: loaded plugins: curl ldap aes des blowfish serpent twofish sha1 sha2 md5 random x509 pubkey pkcs1 pgp dnskey pem sqlite hmac gmp xauth attr attr-sql resolve 
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]:   including NAT-Traversal patch (Version 0.6c)
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: Using Linux 2.6 IPsec interface code
    2014:10:06-08:47:53 rllvdo1har01-2 ipsec_starter[11830]: pluto (11836) started after 20 ms
    2014:10:06-08:47:53 rllvdo1har01-1 ipsec_starter[15503]: Starting strongSwan 4.4.1git20100610 IPsec [starter]...
    2014:10:06-08:47:53 rllvdo1har01-1 pluto[15515]: Starting IKEv1 pluto daemon (strongSwan 4.4.1git20100610) THREADS VENDORID CISCO_QUIRKS
    2014:10:06-08:47:53 rllvdo1har01-1 pluto[15515]: loaded plugins: curl ldap aes des blowfish serpent twofish sha1 sha2 md5 random x509 pubkey pkcs1 pgp dnskey pem sqlite hmac gmp xauth attr attr-sql resolve 
    2014:10:06-08:47:53 rllvdo1har01-1 pluto[15515]:   including NAT-Traversal patch (Version 0.6c)
    2014:10:06-08:47:53 rllvdo1har01-1 pluto[15515]: Using Linux 2.6 IPsec interface code
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: HA system enabled and listening on interface eth2
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: Initial HA switch to master mode
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: loading ca certificates from '/etc/ipsec.d/cacerts'
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]:   loaded ca certificate from '/etc/ipsec.d/cacerts/REF_CaSigVpnSigniCa.pem'
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: loading aa certificates from '/etc/ipsec.d/aacerts'
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts'
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: Changing to directory '/etc/ipsec.d/crls'
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: loading attribute certificates from '/etc/ipsec.d/acerts'
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: listening for IKE messages
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: adding interface eth1.4089/eth1.4089 172.x.x.x:500
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: adding interface eth1.4089/eth1.4089 172.x.x.x:4500
    2014:10:06-08:47:53 rllvdo1har01-2 pluto[11836]: adding interface eth1.4088/eth1.4088 10.29.252.1:500
Children
No Data
Unfiltered HTML