Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 808 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Beware up2date 9.308-16 to 9.311-3 may break VPNs

mrainey
updated a branch office a couple of days ago from 9.308-16 to 9.311-1 (there are two intermediate updates). All 3 updates were scheduled to run overnight. In the morning the vpn to the home office was dead. Several other vpn's to cradlepoint routers came back up OK, but the site to site to the UTM at the home office on 3.310.11 was dead. Had to delete ipsec connection and gateway on both sides and recreate from scratch to get them to reconnect.So beware. Allocate some time to recreate vpn's when running recent up2dates. Any noob's out there make sure your branch office webadmin is configured to allow your home office to access it from it's external ip address, a lesson I learned the hard way years ago with my first branch office.


This thread was automatically locked due to age.
Parents
  • 0
    Thanks, Mike, for sensitizing folks to this.  In fact, this can happen with any Up2Date.  In my case, all of my clients stayed at 9.310 until I started having them Up2Date to 9.312, and we've seen no such problems even though almost all have one or more site-to-sites.

    What might be unique about your setup that might have caused this particular one to munch the configs in both UTMs?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thanks, Bob. I usually try to keep all of my branches on the same version, but I am swapping out an old UTM for a new SG 210 because this branch has to keep 13 vpns up to mobile cradlepoint hotspots and I wanted to bring it up2date before the swap. I have been running up2dates routinely for years and never had one break my site2site vpns and I have 14 interconnected offices. The VPN config is straightforward: AES 256, PSK, VPN ID, MTU Path support checked, 2 shared subnets on each side. The only issue is that the branch currently has PPPoE DSL and the home has fiber, but the PPPoE came up on the Cradlepoint VPN's without any problem, but the Cradlepoint VPN's are on a separate PPPoE circuit and modem so maybe there is an issue there. Hoping to get PPPoE replaced with fiber soon.
Reply
  • 0 in reply to BAlfson
    Thanks, Bob. I usually try to keep all of my branches on the same version, but I am swapping out an old UTM for a new SG 210 because this branch has to keep 13 vpns up to mobile cradlepoint hotspots and I wanted to bring it up2date before the swap. I have been running up2dates routinely for years and never had one break my site2site vpns and I have 14 interconnected offices. The VPN config is straightforward: AES 256, PSK, VPN ID, MTU Path support checked, 2 shared subnets on each side. The only issue is that the branch currently has PPPoE DSL and the home has fiber, but the PPPoE came up on the Cradlepoint VPN's without any problem, but the Cradlepoint VPN's are on a separate PPPoE circuit and modem so maybe there is an issue there. Hoping to get PPPoE replaced with fiber soon.
Children
No Data
Unfiltered HTML