Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 5718 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing All Traffice to IPSec Tunnel

Marc M
Hi everybody, 

I hope that you can help me in this situation, I buy the TP-ER6120 balance of TP-Link and I try to work with Sophos UTM, my goal is use this balance and send all traffic of the machines behind this balance to Sophos UTM.

I got establish the tunnel, its works fine but the machines behind balance only use the tunnel when will use the resources behind the UTM, so all other internet utilization will out from a local connection and not send to UTM instead.

I playing with TP-Link with ticket and in this thread but I not got solution from TP-Link then I thing if the people here can be help me in this case.

http://forum.tp-link.com/showthread.php?76229-Route-All-Traffic-v%EDa-VPN-tunnel&region=china

Machines behind the ER6120 use 192.168.5.0/24
Machines behind the UTM use 192.168.2.0/24

So I can access successfully from 192.168.5.0/24 any resources in the 192.168.2.0/24


I see in this forum some people in the past try to make IPSec with other routers and the suggestion is use ANY in the Local Networks settings of the Connection in the UTM.

But I dont know why in my case If i set ANY the tunnel cannot be established, its works fine only if I set Internal (Network).

I sent in this post the screenshots of the ER6120 configurations and in the post below the screenshots of the Sophos UTM configuration becasue the board let me attach only 5 files..

Thanks in advanced if you can help me.

thx.


This thread was automatically locked due to age.
  • 0
    here is the screenshots of the Sophos UTM configuration
  • 0
    In advanced this is the logs of when the Internal (Network) is use in the Local Networks of the Configuration

    2014:12:16-21:23:02 utm pluto[20857]: listening for IKE messages 
    2014:12:16-21:23:02 utm pluto[20857]: forgetting secrets 
    2014:12:16-21:23:02 utm pluto[20857]: loading secrets from "/etc/ipsec.secrets" 
    2014:12:16-21:23:02 utm pluto[20857]: loaded PSK secret for IP_WAN_SOPHOS_UTM %any 
    2014:12:16-21:23:02 utm pluto[20857]: forgetting secrets 
    2014:12:16-21:23:02 utm pluto[20857]: loading secrets from "/etc/ipsec.secrets" 
    2014:12:16-21:23:02 utm pluto[20857]: loaded PSK secret for IP_WAN_SOPHOS_UTM %any 
    2014:12:16-21:23:02 utm pluto[20857]: loading ca certificates from '/etc/ipsec.d/cacerts' 
    2014:12:16-21:23:02 utm pluto[20857]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem' 
    2014:12:16-21:23:02 utm pluto[20857]: loading aa certificates from '/etc/ipsec.d/aacerts' 
    2014:12:16-21:23:02 utm pluto[20857]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts' 
    2014:12:16-21:23:02 utm pluto[20857]: loading attribute certificates from '/etc/ipsec.d/acerts' 
    2014:12:16-21:23:02 utm pluto[20857]: Changing to directory '/etc/ipsec.d/crls' 
    2014:12:16-21:23:02 utm pluto[20857]: "S_ClientdeLa": deleting connection 
    2014:12:16-21:23:02 utm pluto[20857]: "S_ClientdeLa"[1] IP_WAN_ER6120: deleting connection "S_ClientdeLa"[1] instance with peer IP_WAN_ER6120 {isakmp=#205/ipsec=#0} 
    2014:12:16-21:23:02 utm pluto[20857]: "S_ClientdeLa" #205: deleting state (STATE_MAIN_R3) 
    2014:12:16-21:23:02 utm pluto[20857]: added connection description "S_ClientdeLa" 
    2014:12:16-21:23:37 utm pluto[20857]: "S_ClientdeLa"[1] IP_WAN_ER6120 #206: responding to Main Mode from unknown peer IP_WAN_ER6120 
    2014:12:16-21:23:37 utm pluto[20857]: "S_ClientdeLa"[1] IP_WAN_ER6120 #206: Peer ID is ID_IPV4_ADDR: 'IP_WAN_ER6120' 
    2014:12:16-21:23:37 utm pluto[20857]: "S_ClientdeLa"[1] IP_WAN_ER6120 #206: sent MR3, ISAKMP SA established 
    2014:12:16-21:23:38 utm pluto[20857]: "S_ClientdeLa"[1] IP_WAN_ER6120 #207: responding to Quick Mode 
    2014:12:16-21:23:38 utm pluto[20857]: id="2203" severity="info" sys="SecureNet" sub="vpn" event="Site-to-site VPN up" variant="ipsec" connection="ClientdeLa" address="IP_WAN_SOPHOS_UTM" local_net="192.168.2.0/24" remote_net="192.168.5.0/24" 
    2014:12:16-21:23:38 utm pluto[20857]: "S_ClientdeLa"[1] IP_WAN_ER6120 #207: IPsec SA established {ESP=>0x6f2a8595 
  • 0
    And this is the logs of when the ANY is use in the Local Networks of the Configuration

    2014:12:16-22:01:14 utm pluto[20857]: listening for IKE messages 
    2014:12:16-22:01:14 utm pluto[20857]: forgetting secrets 
    2014:12:16-22:01:14 utm pluto[20857]: loading secrets from "/etc/ipsec.secrets" 
    2014:12:16-22:01:14 utm pluto[20857]: loaded PSK secret for IP_WAN_SOPHOS_UTM %any 
    2014:12:16-22:01:14 utm pluto[20857]: forgetting secrets 
    2014:12:16-22:01:14 utm pluto[20857]: loading secrets from "/etc/ipsec.secrets" 
    2014:12:16-22:01:14 utm pluto[20857]: loaded PSK secret for IP_WAN_SOPHOS_UTM %any 
    2014:12:16-22:01:14 utm pluto[20857]: loading ca certificates from '/etc/ipsec.d/cacerts' 
    2014:12:16-22:01:14 utm pluto[20857]: loaded ca certificate from '/etc/ipsec.d/cacerts/VPN Signing CA.pem' 
    2014:12:16-22:01:14 utm pluto[20857]: loading aa certificates from '/etc/ipsec.d/aacerts' 
    2014:12:16-22:01:14 utm pluto[20857]: loading ocsp certificates from '/etc/ipsec.d/ocspcerts' 
    2014:12:16-22:01:14 utm pluto[20857]: loading attribute certificates from '/etc/ipsec.d/acerts' 
    2014:12:16-22:01:14 utm pluto[20857]: Changing to directory '/etc/ipsec.d/crls' 
    2014:12:16-22:01:14 utm pluto[20857]: "S_ClientdeLa": deleting connection 
    2014:12:16-22:01:14 utm pluto[20857]: "S_ClientdeLa"[1] IP_WAN_ER6120: deleting connection "S_ClientdeLa"[1] instance with peer IP_WAN_ER6120{isakmp=#206/ipsec=#207} 
    2014:12:16-22:01:14 utm pluto[20857]: "S_ClientdeLa" #207: deleting state (STATE_QUICK_R2) 
    2014:12:16-22:01:14 utm pluto[20857]: id="2204" severity="info" sys="SecureNet" sub="vpn" event="Site-to-site VPN down" variant="ipsec" connection="ClientdeLa" address="IP_WAN_SOPHOS_UTM" local_net="192.168.2.0/24" remote_net="192.168.5.0/24" 
    2014:12:16-22:01:14 utm pluto[20857]: "S_ClientdeLa" #206: deleting state (STATE_MAIN_R3) 
    2014:12:16-22:01:14 utm pluto[20857]: added connection description "S_ClientdeLa" 
    2014:12:16-22:01:14 utm pluto[20857]: packet from IP_WAN_ER6120:500: Informational Exchange is for an unknown (expired?) SA 
    2014:12:16-22:01:15 utm pluto[20857]: "S_ClientdeLa"[1] IP_WAN_ER6120#208: responding to Main Mode from unknown peer IP_WAN_ER6120
    2014:12:16-22:01:15 utm pluto[20857]: "S_ClientdeLa"[1] IP_WAN_ER6120#208: Peer ID is ID_IPV4_ADDR: 'IP_WAN_ER6120' 
    2014:12:16-22:01:15 utm pluto[20857]: "S_ClientdeLa"[1] IP_WAN_ER6120#208: sent MR3, ISAKMP SA established 
    2014:12:16-22:01:15 utm pluto[20857]: "S_ClientdeLa"[1] IP_WAN_ER6120#208: cannot respond to IPsec SA request because no connection is known for 192.168.2.0/24===IP_WAN_SOPHOS_UTM[IP_WAN_SOPHOS_UTM]...IP_WAN_ER6120[IP_WAN_ER6120]===192.168.5.0/24 
    2014:12:16-22:01:15 utm pluto[20857]: "S_ClientdeLa"[1] IP_WAN_ER6120#208: sending encrypted notification INVALID_ID_INFORMATION to IP_WAN_ER6120:500 
    2014:12:16-22:01:25 utm pluto[20857]: "S_ClientdeLa"[1] IP_WAN_ER6120#208: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xfe76ab46 (perhaps this is a duplicated packet) 
    2014:12:16-22:01:25 utm pluto[20857]: "S_ClientdeLa"[1] IP_WAN_ER6120#208: sending encrypted notification INVALID_MESSAGE_ID to IP_WAN_ER6120:500
  • 0
    If help, below is a ER6120 emulator

    TL-ER5120
  • 0
    Marc, maybe I didn't understand your topology - it's unclear to me why you would want the complication of having a different device in front of the UTM when the UTM is already capable of all of the functions offered by the TP-ER6120.  Nonetheless, I think your problem is that you need 0.0.0.0/0 in 'Remote Subnet' in the TP-ER6120 when you have "Any" in 'Local networks' in the UTM.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi BAlfson, thx by your reply, I put the ER6120 to work in a branch to connect to UTM.

    I already try 0.0.0.0/0 in the ER6120 remote gateway but only with "Internal (Network)" in the remote networks, but as you suggest I do with ANY and I got the same error in the ER6120 "The Remote Subnet address can not be 0.0.0.0/0. Please enter another one".

    Any other idea ?

    thx.
  • 0
    Hi Everybody, anyone have any idea ? thx.
  • 0
    The settings must match on both sides: with "Any" in 'Remote networks' in the UTM, you must have 0.0.0.0/0 in the other device.  With 192.168.5.0 in 'Remote networks' in the UTM, you must have the same in the other device.  I don't see where DPD is enabled in the other device.  You also might try with a simple PSK to be sure that those are the same.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Balfson, thx, the 192.168.5.0/24 already are in the remote networks in the remote gateway, in advanced the tunnel can be established with no problems.  I think that this ER6120 dont support this configuration at this time because its a very simple to do and I dont know why its not can be done.

    thx.
Unfiltered HTML