Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 13522 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-site IPSEC to Palo Alto, won't tunnel all

Troy Thompson
I'm working with a simple IPSEC site-to-site VPN with the following configuration:

Sophos UTM branch facility on static DSL: LAN at 10.142.0.0/16

Palo Alto VPN device at main office, on static fiber: LAN is 10.101.0.0/16

This works fine with Site-to-Site IPSEC and the two LANs can talk. Now from the Sophos LAN, we need to reach a mail relay server at an external IP address 199.98.x.x. That server is firewalled so only connections from the static fiber connection are accepted. 

The proposed solution is to simply tunnel all the remote branch traffic over the VPN. According to Configuring an IPSec tunnel to send all traffic to a central UTM I should do this:


On the UTM at the remote site:

Navigate to Site-to-site VPN | IPsec | Remote Gateways.
On the defined remote gateway for the central office, click 'Edit'.
Change the 'Remote Networks' box to only contain the network 'Any'.
Click 'Save'.


When I do this (and I've removed the other entries in Remote Networks), the VPN tunnel instantly goes down and won't start up. I'm not sure of the Palo Alto VPN changes that need to be made to make all traffic tunnel. 

I've also tried adding just the 199.98.x.x host as a host in the Sophos "Remote Network" list, and the VPN status screen shows it in red (not connected). The other remote networks still stay green.

Any ideas?


This thread was automatically locked due to age.
  • 0
    With IPSEC both sides have to be the same. See if you can get read-only access or a screenshot on what is configured for the Site-2-Site IPSEC tunnel to the Sophos UTM on the Palo Alto.

    -Ron
  • 0
    I'll see what I can get. I do know that there is a Proxy IDs tab on the Palo Alto box.

    Ref: https://live.paloaltonetworks.com/docs/DOC-6791

    Currently the Proxy IDs tab has the main office and branch office IP ranges. Perhaps these need to be removed?
  • 0
    Not sure if useful, but I think the Palo Alto device is doing a "route-based VPN"; maybe the UTM is "policy-based" by default?

    Still wrangling with these two concepts...
  • 0
    Troy, adding a Host definition for the mail relay server to 'Remote networks' in the UTM was correct.  You also need to add the mail server IP to the equivalent of 'Local networks' in the Palo Alto.  I doubt that playing with Proxy IDs would be helpful.

    A quick glance at the Palo Alto link you supplied wasn't enough to tell me how to configure their IPsec for more than one local network or for Any.  Maybe that's complex enough that you'd save time creating a separate tunnel just for the mail relay server.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    We set "All" on the Sophos side, and a Proxy ID network address of 0.0.0.0/0; all traffic then tunneled according to debug logging.

    The Sophos was doing what it was supposed to; the Palo Alto needed some additional firewall settings to permit Internet-bound traffic to proceed from the VPN tunnel back out to the main office HQ ISP feed.

    If I get more details on the Palo Alto side, I'll post them here. Thanks for the help!
Unfiltered HTML