Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 13337 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec with back to back UTM

wstoffel@advance2000.com
I have an environment where my LAN sits behind a UTM 9.3 (inside firewall), there's a transit network (private ip addressing) to my UTM 9.3 that sits on my edge (outside firewall).

I need ipsec tunnels sourced from my inside firewall.  If i set the remote end to respond only so my inside firewall initiates the connection there's no issue.  

If both gateway types are set to initiate then:

2015:02:04-13:46:50 Remote_test pluto[5610]: "S_TESTL2L" #47: Peer ID is ID_IPV4_ADDR: '172.31.255.253'
2015:02:04-13:46:50 Remote_test pluto[5610]: "S_TESTL2L" #47: no suitable connection for peer '172.31.255.253'
2015:02:04-13:46:50 Remote_test pluto[5610]: "S_TESTL2L" #47: sending encrypted notification INVALID_ID_INFORMATION to 24.7.48.2:4500
2015:02:04-13:47:00 Remote_test pluto[5610]: "S_TESTL2L" #47: Peer ID is ID_IPV4_ADDR: '172.31.255.253'
2015:02:04-13:47:00 Remote_test pluto[5610]: "S_TESTL2L" #47: no suitable connection for peer '172.31.255.253'
2015:02:04-13:47:00 Remote_test pluto[5610]: "S_TESTL2L" #47: sending encrypted notification INVALID_ID_INFORMATION to 24.7.48.2:4500

Setting the vpnid to 24.7.48.2 does nothing [:)]

Respond only is one option, but is there another alternative so i do not have to change/add all these remote gateways? 

thanks.

PS: using PSK's....thank you..


This thread was automatically locked due to age.
  • 0
    Hi, and welcome to the User BB!

    This is IPsec making sure the conversation is coming from an expected IP.  When your UTM initiates, the other side doesn't check.  When the other side initiates, it expects the public IP to be a part of the signature in the IPsec packet, but the UTM uses the (private) IP of "External (Address)"instead.

    There are two solutions available, both of which require configuring the remote sites.  "Respond only" is one.  The other is to set the VPN ID type to "IP Address" and set the ID to the private IP of your "External (Address)."

    Instead, since it sounds like you have a paid subscription, you could contact Sophos Support and ask them to save you the effort of changing all of the remote sites.  Ask them to edit your ipsec.conf-default at the command line to insert the leftid setting and edit ipsec.secrets-default accordingly.

    Also, you might want to give some votes to Coewar's feature suggestion made three years ago.

    Cheers - Bob
    PS PSKs are the least-secure method.  RSA keys are better.  X509 certs are the best.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    As it turns out the vpnid doesn't update (Swan shortfall) when you update it from the GUI.  The only way to fix it is to actually update the ipsec.conf file you mention.  But respond only appears to be working.
  • 0
    Actually, the one you can set in WebAdmin is the rightid - there's no WebAdmin setting for the leftid, hence the feature request I link to above.  The conf and secrets files are straight from StrongSWAN (UTM IPsec is based on this).

    Be sure you have 'Enable probing of preshared keys' selected on the 'Advanced' tab.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hello,
     I may have a similar configuration issue as above. though not sure if i am reading it correctly. I am trying to connect my UTM through a Firewall to terminate on a router behind firewall ( 192.168.1.100)

    So :
    Sophos (Public IP ) <> Firewall ( not mine)  192.168.1.100

    So while i build my Connection profile in the UTM to the Public IP of Firewall, the VPN endpoint is actually that 'Internal IP'.

    Any idea how the connection profile looks in this instance? I have successfully set the UTM to many VPN endpoints , however they are all direct connections to a Public IP.

    Let me know if you have any ideas.

    Thanks. Quepso
  • 0
    Hi, and welcome to the User BB!

    Just set the 'VPN ID type' to "IP Address" and 'VPN ID' to 192.168.1.100.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hello BAlfson,
     Thank you for the quick reply. Should this configuration be set to 'Respond Only' or simply make the changes you suggest above. That just seems too simple!!

    Thanks. 
    Q
  • 0
    No, it's that simple, Q, but "Respond only" is the alternative.  You have the opposite issue from the original poster.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    BA, 
     I will make the changes. Your assistance is much appreciated.

    Q
Unfiltered HTML