Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 5523 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Network Extension via two UTMs

goosen8r
Just to start, I am a complete n00b on VPNs and am trying my best to learn, however I have been put in a position to solve a problem quickly, so here goes.

I am needing to connect two geographically separate LANs via bridge and maintain the same IP space on each. I setup two software UTM 9s on a ESXi host to work with for proof of concept. What I HAVE been able to accomplish is build RED tunnel or an IPSec tunnel between the two and allow different networks to communicate, but I need a single network to span them both. 

Is this even possible with UTM 9s in a software only configuration?

I have tried bridging the redsX and eth1 interface on one and trying to get the other to manage the network via this post: https://community.sophos.com/products/unified-threat-management/astaroorg/f/62/t/57348
with no luck.

Any suggestions?


This thread was automatically locked due to age.
Parents
  • 0
    Hi, goosen8r, and welcome to the User BB!

    In a situation with two UTMs, my preferred solution is a RED tunnel between the two with a bridge on each end as in my coach story.  For more discussion that might help you, read Routing the same subnet accross vpn.

    A correctly configured VPN should need no static routes, and they can't be used except for routing traffic that has left the tunnel.  Firewall rules are necessary to allow traffic to pass through a bridge.

    Even with an "Any" Allow rule, pinging probably (haven't tried it) requires an allow rule on each side allowing pings from the other side - watch the Firewall Live Log.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Hi, goosen8r, and welcome to the User BB!

    In a situation with two UTMs, my preferred solution is a RED tunnel between the two with a bridge on each end as in my coach story.  For more discussion that might help you, read Routing the same subnet accross vpn.

    A correctly configured VPN should need no static routes, and they can't be used except for routing traffic that has left the tunnel.  Firewall rules are necessary to allow traffic to pass through a bridge.

    Even with an "Any" Allow rule, pinging probably (haven't tried it) requires an allow rule on each side allowing pings from the other side - watch the Firewall Live Log.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    I read through that post and it seems I am attempting to accomplish the same thing, however it's not seeming as easy. I have tried watching the live firewall feed with the rules on and off and don't even see the host attempting a ping - or any other protocol I have sent across - tried SSH, FTP, HTTP, HTTPS, nothing shows up in the the logs.

    I did SSH into the UTM and grab some packets caps, but all that shows up - and this may be helpful - is ARP requests for the hosts on the other side of the tunnel, but no replies. The host attempting communication is 192.168.0.100 on the UTM A side trying to reach 192.168.0.17 on the UTM B side. The UTM B br0 interface is 192.168.0.2 and is the only host responding to ARP requests, but I cannot communicate with it either. I did add 'ping' to the list of allowed services, which includes 'Any' as well.
Unfiltered HTML