Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 4166 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC VPN 2 Problems with Supernets

HopefulSoul
I apologize if i missed a thread which may have helped me, i browsed through the first 3 pages of this subforum and then did a search for "supernet vpn" and browsed the first page of results not finding anything quite like what matches what i *think* i need lol

I have 2 sites (well ok 8, but lets start with 2), for which i am creating a VPN tunnel as a backup .

 (at the center of all the sites, so traffic from all sites to all sites must pass through here. other networks at all sites are 192.168.x.x)
data internal: 172.17.17.0
voice network: 172.17.117.0
Astaro V8.x


data internal: 192.168.15.0
voice network: 192.168.115.0
Astaro V9.3.x


Local Networks:
Data Supernet - 192.168.0.0/16
Voice and Data Supernet - 172.17.0.0/16
Wireless Supernet - 10.168.0.0/16
[x]Automatic Firewall Rules
[x]Strict Routing

Remote Networks @  to link to 
Data Network - 192.168.15.0/24
Voice Network - 192.168.115.0/24
Wireless Network - 10.168.15.0/24


I setup my IPSEC vpn as follows @ 
Remote Networks:
Data Supernet - 192.168.0.0/16
Voice and Data Supernet - 172.17.0.0/16
Wireless Supernet - 10.168.0.0/16

Local Networks @  to link to 
Data Network - 192.168.15.0/24
Voice Network - 192.168.115.0/24
Wireless Network - 10.168.15.0/24
[x]Automatic Firewall Rules
[x]Strict Routing

The VPN establishes connection. I end up with two problems
1) At Site 2, while logged into a machine, i can no longer ping or access the astaro via the defined default gateway ip (192.168.15.1). From Site 1, i can access it. (Also while at Site 2, i can ping other traffic on the lan ex: 192.168.15.200 just fine)
2) The voice traffic intended for 172.17.117.0 and the data traffic intended for 172.17.17.0, though the SAs are established, does not pass over the VPN. If i enable logging on the firewall rules created for the VPN, i can see that attempts to go to 172.17.0.0/16 are bypassing the auto generated rules and hitting other firewall rules down the list.

Cards on the table, these sites have a metro connection between them, with static routes setup. Supernets are defined in the astaro, and pointed to routers at each site . I can elaborate on this if you think it makes a difference but my understanding is VPN should trump static routes as a first path.


This thread was automatically locked due to age.
Parents
  • 0
    Routing. Routing. Routing.  "Data Network - 192.168.15.0/24" conflicts with "Data Supernet - 192.168.0.0/16." You won't be able to get this approach to work in WebAdmin.

    Does each site have a UTM?  Is it a problem if failover to the VPN takes up to a minute?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Routing. Routing. Routing.  "Data Network - 192.168.15.0/24" conflicts with "Data Supernet - 192.168.0.0/16." You won't be able to get this approach to work in WebAdmin.

    Does each site have a UTM?  Is it a problem if failover to the VPN takes up to a minute?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Routing. Routing. Routing.  "Data Network - 192.168.15.0/24" conflicts with "Data Supernet - 192.168.0.0/16." You won't be able to get this approach to work in WebAdmin.

    Does each site have a UTM?  Is it a problem if failover to the VPN takes up to a minute?

    Cheers - Bob


    Yes both have Astaros, 1 is v8 and the other is v9. It's not a problem if failover takes a minute, VPN processing at this point is manual anyway because we sep have to configure those routers i briefly mentioned to send traffic back to the astaros manually anyway for now

    ..but...the SA lights up...and it does basically work except for the ip of the astaro for issue 1 and in issue 2 well i wonder why that fails because the other supernet for 192.168.0.0/16 works...cept for issue 1 lol cyclical response

    can you go into any more detail as to why it mostly works?
Unfiltered HTML