Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 4164 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC VPN 2 Problems with Supernets

HopefulSoul
I apologize if i missed a thread which may have helped me, i browsed through the first 3 pages of this subforum and then did a search for "supernet vpn" and browsed the first page of results not finding anything quite like what matches what i *think* i need lol

I have 2 sites (well ok 8, but lets start with 2), for which i am creating a VPN tunnel as a backup .

 (at the center of all the sites, so traffic from all sites to all sites must pass through here. other networks at all sites are 192.168.x.x)
data internal: 172.17.17.0
voice network: 172.17.117.0
Astaro V8.x


data internal: 192.168.15.0
voice network: 192.168.115.0
Astaro V9.3.x


Local Networks:
Data Supernet - 192.168.0.0/16
Voice and Data Supernet - 172.17.0.0/16
Wireless Supernet - 10.168.0.0/16
[x]Automatic Firewall Rules
[x]Strict Routing

Remote Networks @  to link to 
Data Network - 192.168.15.0/24
Voice Network - 192.168.115.0/24
Wireless Network - 10.168.15.0/24


I setup my IPSEC vpn as follows @ 
Remote Networks:
Data Supernet - 192.168.0.0/16
Voice and Data Supernet - 172.17.0.0/16
Wireless Supernet - 10.168.0.0/16

Local Networks @  to link to 
Data Network - 192.168.15.0/24
Voice Network - 192.168.115.0/24
Wireless Network - 10.168.15.0/24
[x]Automatic Firewall Rules
[x]Strict Routing

The VPN establishes connection. I end up with two problems
1) At Site 2, while logged into a machine, i can no longer ping or access the astaro via the defined default gateway ip (192.168.15.1). From Site 1, i can access it. (Also while at Site 2, i can ping other traffic on the lan ex: 192.168.15.200 just fine)
2) The voice traffic intended for 172.17.117.0 and the data traffic intended for 172.17.17.0, though the SAs are established, does not pass over the VPN. If i enable logging on the firewall rules created for the VPN, i can see that attempts to go to 172.17.0.0/16 are bypassing the auto generated rules and hitting other firewall rules down the list.

Cards on the table, these sites have a metro connection between them, with static routes setup. Supernets are defined in the astaro, and pointed to routers at each site . I can elaborate on this if you think it makes a difference but my understanding is VPN should trump static routes as a first path.


This thread was automatically locked due to age.
Parents
  • 0
    can you go into any more detail as to why it mostly works?

    It would be an interesting exercise for a student in a networking class. [;)]  I'm surprised that some things work!  Instead of supernets, WebAdmin needs to be given subnets that don't conflict, so you likely will need seven individual subnets in each site.

    If each site has Astaro/UTM, you can use RED tunnels and OSPF to get almost instant failover/failback.  The "classic" solution with IPsec is to leave the tunnel off until needed and to use an Uplink Monitoring Action to enable it.  You will also want to disable 'Automatic Monitoring' on the 'Advanced' tab and add the Google DNS servers and an IP that can be reached via the metro connection, but not through the IPsec tunnel.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    It would be an interesting exercise for a student in a networking class. [;)]  I'm surprised that some things work!  Instead of supernets, WebAdmin needs to be given subnets that don't conflict, so you likely will need seven individual subnets in each site.

    If each site has Astaro/UTM, you can use RED tunnels and OSPF to get almost instant failover/failback.  The "classic" solution with IPsec is to leave the tunnel off until needed and to use an Uplink Monitoring Action to enable it.  You will also want to disable 'Automatic Monitoring' on the 'Advanced' tab and add the Google DNS servers and an IP that can be reached via the metro connection, but not through the IPsec tunnel.

    Cheers - Bob


    the fact that it slightly works is what threw me off. in a VPN of version 8 to version 8 i remember that if the networks were different the SAs would stay red i thought [:(]

    off to build a PITA vpn setup...8 times....LOL

    so when you say , in your suggestion for auto failover, to add an IP that can be reached via the metro but not through the ipsec tunnel...the goal of the vpn is to have it reach all of the IPs that are otherwise over the metro...so erm, how do i accomplish what you suggest?
Reply
  • 0 in reply to BAlfson
    It would be an interesting exercise for a student in a networking class. [;)]  I'm surprised that some things work!  Instead of supernets, WebAdmin needs to be given subnets that don't conflict, so you likely will need seven individual subnets in each site.

    If each site has Astaro/UTM, you can use RED tunnels and OSPF to get almost instant failover/failback.  The "classic" solution with IPsec is to leave the tunnel off until needed and to use an Uplink Monitoring Action to enable it.  You will also want to disable 'Automatic Monitoring' on the 'Advanced' tab and add the Google DNS servers and an IP that can be reached via the metro connection, but not through the IPsec tunnel.

    Cheers - Bob


    the fact that it slightly works is what threw me off. in a VPN of version 8 to version 8 i remember that if the networks were different the SAs would stay red i thought [:(]

    off to build a PITA vpn setup...8 times....LOL

    so when you say , in your suggestion for auto failover, to add an IP that can be reached via the metro but not through the ipsec tunnel...the goal of the vpn is to have it reach all of the IPs that are otherwise over the metro...so erm, how do i accomplish what you suggest?
Children
No Data
Unfiltered HTML