Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 10938 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec tunnel - trafic not going through

ser_user
I have UTM with private addresses on both interfaces. There is a router in front of the UTM. I have setup IPSec vpn tunnel between UTM (my side A) and another device about 10 days ago. It has been working until two days ago when traffic stopped going throug tunnel. The tunnel on UTM is green (operational), but traffic can't pass through tunnel anymore. I tried tracert from my internal network, it reaches UTM internal interfaces and no information after that. The same with tracert from UTM. 
In order to test IPsec , I setup ipsec tunnel between my utm A and UTM B. It won't establish until I setup VPN ID optional (I inserted ip address (private) of external interface of my UTM A. After that the tunnel established properly, and every traffic can pass through tunnel. So the tunnel with UTM is working properly. 
I checked routes and see there is a route for second tunnel (which is operational and working) that goes through ipsec tunnel.
But I can't see any route related to first tunnel (I have problem with)....

Has anyone some idea about that?


This thread was automatically locked due to age.
  • 0
    Please provide a simple diagram that shows representative IPs.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Here you are....
    just to mention. There is a route to remote network on UTM.. Maybe, I didn't notice it last time....
    Internal network is 192.168.1.0 not 192.168.10 (mistake in diagram)
  • 0
    You already found a key issue, the IP address, but there must be something else.  Do you have DPD, NAT-T and Preshared Key Probing selected in both UTMs?

    If that didn't solve the problem, please attach pictures of the IPsec Connection and Remote Gateway open in Edit mode for both tunnels.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Balfson. I have UTM on my side.. On the other side is some other device (not UTM). I don't know which device exactly. I tried to establish another ipsec with utm and succeeded just for testing purposes. Everything you mentioned is selected on my UTM , except preshared key probing...which is not enabled by default.... I have no access to other side directly. It is a big company and I'm not allowed to see their configuration. I always ask them by email what I need..
  • 0
    Just to show that the tunnel is established..... but no traffic going through...
  • 0
    What I have found that I can't ping public address on the other side of the tunnel from my UTM when ipsec tunnel is up. When I turn off ipsec tunnel I can ping it....
    I tried to restart UTM, update to the latest version, tried to recreate ipsec tunnel and remote gateway object but no help...
  • 0
    I can't ping public address on the other side of the tunnel from my UTM when ipsec tunnel is up. When I turn off ipsec tunnel I can ping it

    That is normal with IPsec tunnels with the UTM.

    You need to ask them if they have DPD and NAT-T selected.  If that doesn't give you the answer, then try #1 in Rulz.  Any luck?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I found out today that they are using (Perfect Forward Secrecy).. Is this a problem? I can't find that option in UTM.. Beside that , they don't use private address space, only public, behind a firewall..
  • 0
    In the IPsec Connection definition, change the Policy from "Triple DES" to "TripleDES PFS" and then let us know if that allowed traffic to flow.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I checked my ipsec policy and see that I already use PFS......
    But I found out something else....
    They tell me that they use IKE SA Lifetime 1440 minutes and I setup 86400 in ipsec policy, but in UTM documentation 8 hours is maximum.... This also could be the problem I suppose....
Unfiltered HTML