Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 11348 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPsec site to site VPN with multiple remote address ranges - NAT setup

Chuckak
I have successfully set up a site to site VPN with another site (non UTM)
The remote site has 11 address ranges that translate into 11 SAs that are green on the IPsec tab.  This site previously was connected using ISA 2006 and still connects successfully if I enable it.  My UTM is AD enabled and joined.

The issue is I cannot get connectivity - unable to ping the remote server as I do not understand how to setup the NAT rules or whatever else I am missing.
I have 3 computers that need to have access to the servers on the other end of the tunnel.
I created a network group that includes the 11 network ranges and a group for the 3 computers.  I assume I need a SNAT and a DNAT and have tried multiple ways.  I have ping enabled.  I am unable to ping the remote servers from the UTM tools.  Traceroutes go to the internet instead of the tunnel.  Any ideas?


This thread was automatically locked due to age.
  • 0
    Hi, Chuck, and welcome to the User BB!

    First, do you get any hints from #1 in Rulz?  If you have Hosts defined for any of the servers, does any definition violate #3?

    Are you certain that the other side isn't blocking your pings?  Can you surf or RDP to any device on the other end?  Traceroutes to an IP in one of the 11 subnets go over the Internet - are these public IP ranges?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    These servers are on the General Motors network and are in the public IP range.  Which a lot of there internal network is.
    They provided a list of servers in the range that will respond to ping.  No specific servers are defined as that is done in the Teamcenter application.  Traceroutes go to the internet not the tunnel.They provided the public facing tunnel server IP address that does not respond to ping (per design).  In the ISA 2006 server setup this was a simple NAT rule which included all the network ranges on the remote side translated to the group of computers on the internal network.  I assume my issue is with the NAT setup.  I need to know specifically what to set for source and destination NATs. Why is this so difficult with UTM?  Where is the wizard?  The firewall I am replacing is 10 years old and 5 years past end of life and it had a wizard that made this setup simple.
  • 0
    Mods can see the IPs of the posters, Chuck, so, having a client in Dearborn, I suspected that you might have a similar situation. [;)]

    This is actually very simple in the UTM, but your experience with ISA is causing you problems in designing solutions.  Here's how I would approach your situation...

    Configure the IPsec Connection with 'Local networks' containing just the public {IP} assigned to your company by GM.  Configure the Remote Gateway with the {11 subnets} group in 'Remote networks'.  Create an SNAT with 'Rule applies to IPsec packets' selected in 'Advanced':

    SNAT : {3 computers} -> Any -> {11 subnets} : from {IP}


    If that doesn't get you there, explain what's happening.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I configured IPsec connection as follows local interface: external WAN
    Remote Gateway: Called it GM Gateway Group
    Policy: Microsoft Windows
    Automatic Firewall Rules is checked

    Remote Gateway: GM Gateway Group
    Gateway Type: Initiate Connection
    Gateway: GM Gateway Server public IP address
    VPN ID type: IP address
    VPN ID (optional): is the GM gateway server public IP address
    Remote Networks: contains 11 address ranges of x.x.x.0/24
    No advanced options checked
    Tunnel is up with all 11 SAs green.
    Created SNAT as follows
    traffic from: Teamcenter Computers (network group)
    traffic to: GM Teamcenter (network group)
    change source to GM VPN server - public IP
    rule applies to IPsec packets is checked.

    no DNAT rule defined

    Still no communication....
  • 0
    We had some miscommunication about the SNAT.  My assumption was that GM had given you a public IP that was to be the Source IP in all of the packets from you carried inside the IPsec tunnel.  This would not be the "GM VPN server - public IP."  What Source IP(s) do the networking folks at GM want to see on your packets inside their network?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    They required our source IP to be our public facing IP which is the same one for the rest of the traffic.  As far as our side internal network IP range they did not define it.  I do not see anything defined in the old firewall server.
  • 0
    OK, assuming that your IPsec Connection uses 'Local Interface: External', then 'Local Networks' must contain only the "External (Address)" object and 'Strict routing' must not be selected.  To get the traffic into the tunnel:

    SNAT : {3 computers} -> Any -> {11 subnets} : from External (Address)


    A little more luck with that?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    That allowed me to ping the servers and get a response.  Thanks for your help on this.  Once I had the correct range defined in the remote gateway.  I was able to get further with the application.  It took the help desk to find that.  I do not see a way to figure out where the traffic is getting stopped in the Webadmin gui.  I can ping the servers but I cannot telnet to them.
  • 0
    Chuck, if #1 in Rulz doesn't show the traffic being stopped in the UTM, it is either stopped by a GM firewall or routed incorrectly in the GM network.  I can't see any other possibility.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Bob,

    Agree on the Rulz 1.  My question is how to see the traffic going through the firewall and to the outside world.  I do not see a way in the GUI.  The VPN live log shows a piece of it.  The firewall log shows a piece.  Is there a way to see the whole path?
Unfiltered HTML