Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 13524 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-site IPSEC to Palo Alto, won't tunnel all

Troy Thompson
I'm working with a simple IPSEC site-to-site VPN with the following configuration:

Sophos UTM branch facility on static DSL: LAN at 10.142.0.0/16

Palo Alto VPN device at main office, on static fiber: LAN is 10.101.0.0/16

This works fine with Site-to-Site IPSEC and the two LANs can talk. Now from the Sophos LAN, we need to reach a mail relay server at an external IP address 199.98.x.x. That server is firewalled so only connections from the static fiber connection are accepted. 

The proposed solution is to simply tunnel all the remote branch traffic over the VPN. According to Configuring an IPSec tunnel to send all traffic to a central UTM I should do this:


On the UTM at the remote site:

Navigate to Site-to-site VPN | IPsec | Remote Gateways.
On the defined remote gateway for the central office, click 'Edit'.
Change the 'Remote Networks' box to only contain the network 'Any'.
Click 'Save'.


When I do this (and I've removed the other entries in Remote Networks), the VPN tunnel instantly goes down and won't start up. I'm not sure of the Palo Alto VPN changes that need to be made to make all traffic tunnel. 

I've also tried adding just the 199.98.x.x host as a host in the Sophos "Remote Network" list, and the VPN status screen shows it in red (not connected). The other remote networks still stay green.

Any ideas?


This thread was automatically locked due to age.
Parents
  • 0
    Troy, adding a Host definition for the mail relay server to 'Remote networks' in the UTM was correct.  You also need to add the mail server IP to the equivalent of 'Local networks' in the Palo Alto.  I doubt that playing with Proxy IDs would be helpful.

    A quick glance at the Palo Alto link you supplied wasn't enough to tell me how to configure their IPsec for more than one local network or for Any.  Maybe that's complex enough that you'd save time creating a separate tunnel just for the mail relay server.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Troy, adding a Host definition for the mail relay server to 'Remote networks' in the UTM was correct.  You also need to add the mail server IP to the equivalent of 'Local networks' in the Palo Alto.  I doubt that playing with Proxy IDs would be helpful.

    A quick glance at the Palo Alto link you supplied wasn't enough to tell me how to configure their IPsec for more than one local network or for Any.  Maybe that's complex enough that you'd save time creating a separate tunnel just for the mail relay server.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    We set "All" on the Sophos side, and a Proxy ID network address of 0.0.0.0/0; all traffic then tunneled according to debug logging.

    The Sophos was doing what it was supposed to; the Palo Alto needed some additional firewall settings to permit Internet-bound traffic to proceed from the VPN tunnel back out to the main office HQ ISP feed.

    If I get more details on the Palo Alto side, I'll post them here. Thanks for the help!
Unfiltered HTML