Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 13342 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec with back to back UTM

wstoffel@advance2000.com
I have an environment where my LAN sits behind a UTM 9.3 (inside firewall), there's a transit network (private ip addressing) to my UTM 9.3 that sits on my edge (outside firewall).

I need ipsec tunnels sourced from my inside firewall.  If i set the remote end to respond only so my inside firewall initiates the connection there's no issue.  

If both gateway types are set to initiate then:

2015:02:04-13:46:50 Remote_test pluto[5610]: "S_TESTL2L" #47: Peer ID is ID_IPV4_ADDR: '172.31.255.253'
2015:02:04-13:46:50 Remote_test pluto[5610]: "S_TESTL2L" #47: no suitable connection for peer '172.31.255.253'
2015:02:04-13:46:50 Remote_test pluto[5610]: "S_TESTL2L" #47: sending encrypted notification INVALID_ID_INFORMATION to 24.7.48.2:4500
2015:02:04-13:47:00 Remote_test pluto[5610]: "S_TESTL2L" #47: Peer ID is ID_IPV4_ADDR: '172.31.255.253'
2015:02:04-13:47:00 Remote_test pluto[5610]: "S_TESTL2L" #47: no suitable connection for peer '172.31.255.253'
2015:02:04-13:47:00 Remote_test pluto[5610]: "S_TESTL2L" #47: sending encrypted notification INVALID_ID_INFORMATION to 24.7.48.2:4500

Setting the vpnid to 24.7.48.2 does nothing [:)]

Respond only is one option, but is there another alternative so i do not have to change/add all these remote gateways? 

thanks.

PS: using PSK's....thank you..


This thread was automatically locked due to age.
Parents
  • 0
    Hi, and welcome to the User BB!

    This is IPsec making sure the conversation is coming from an expected IP.  When your UTM initiates, the other side doesn't check.  When the other side initiates, it expects the public IP to be a part of the signature in the IPsec packet, but the UTM uses the (private) IP of "External (Address)"instead.

    There are two solutions available, both of which require configuring the remote sites.  "Respond only" is one.  The other is to set the VPN ID type to "IP Address" and set the ID to the private IP of your "External (Address)."

    Instead, since it sounds like you have a paid subscription, you could contact Sophos Support and ask them to save you the effort of changing all of the remote sites.  Ask them to edit your ipsec.conf-default at the command line to insert the leftid setting and edit ipsec.secrets-default accordingly.

    Also, you might want to give some votes to Coewar's feature suggestion made three years ago.

    Cheers - Bob
    PS PSKs are the least-secure method.  RSA keys are better.  X509 certs are the best.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    As it turns out the vpnid doesn't update (Swan shortfall) when you update it from the GUI.  The only way to fix it is to actually update the ipsec.conf file you mention.  But respond only appears to be working.
Reply Children
No Data
Unfiltered HTML