Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 19 replies
  • Answers 1 answer
  • Subscribers 10 subscribers
  • Views 2065 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec V2 Verbindung mit 1:2 Subnetzen

karsten_boldt

Moin,

Ich will zwei Standorte verbinden. Auf der einen Seite ist ein Subnetz die sich über eine PFSense auf die andere Seite über eine Sophos XG mit zwei Subnetzen verbinden soll. Phase 1 ist kein Problem, aber es wird nur ein Subnetz verbunden.
Wenn ich auf der Sophos anstatt der beiden IP Host Objekte "ANY" eintrage, funktioniert es. Aber das kann nicht das ergebnis sein.
Wer kann mir helfen?


VG
Karsten



This thread was automatically locked due to age.
Parents
  • 0

    Hi Karsten,

    Thank you for reaching out to Sophos Community.

    I recommend comparing both packets(routes/policy) from the working and non-working hosts. Also, check the PFsense allowed configuration.

    Kindly try to do a packet capture and check the log viewer.

    Erick Jan
    Community Support Engineer | Sophos Technical Support
    Sophos Support Videos Product Documentation  |  @SophosSupport  | Sign up for SMS Alerts
    If a post solves your question use the 'Verify Answer' link.

  • 0 in reply to Erick Jan

    i´m not firm with packet captures for ipsec connections, but i copied a part of the IPSec Log.


    IPSec_xx-1:  xxx.xxx.xxx.xxx...xxx.xxx.xxx.xxx  IKEv2, dpddelay=30s        
    IPSec_xx-1:   local:  [xxx.xxx.xxx.xxx] uses pre-shared key authentication 
    IPSec_xx-1:   remote: [xxx.xxx.xxx.xxx] uses pre-shared key authentication
    IPSec_xx-1:   child:  192.168.1.0/24 === 192.168.28.0/24 TUNNEL, dpdaction
    IPSec_xx-2:   child:  192.168.10.0/24 === 192.168.28.0/24 TUNNEL, dpdactio
    n=clear                                                                         
    Security Associations (4 up, 0 connecting):      

    IPSec_xx-1[550787]: ESTABLISHED 23 minutes ago, xxx.xxx.xxx.xxx[xxx.xxx.xxx.xxx]...xxx.xxx.xxx.xxx[xxx.xxx.xxx.xxx] 
    IPSec_xx-1[550787]: IKEv2 SPIs: xxxxxxxxxxxxx1dcc_ixxxxxxxxxxxxxxxxx, re
    keying in 7 hours 
    IPSec_xx-1[550787]: IKE proposal: AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_S
    HA2_256/MODP_2048 
    IPSec_xx-2{17297}: INSTALLED, TUNNEL, reqid 524, ESP SPIs: xxxxxxxxxxxxxxxx 
    IPSec_xx-2{17297}: AES_CBC_256/HMAC_SHA2_256_128, 175819 bytes_i, 26430 b
    ytes_o (297 pkts, 22s ago), rekeying in 7 hours 
    IPSec_xx-2{17297}: 192.168.10.0/24 === 192.168.28.0/24
  • 0 in reply to karsten_boldt

    Hi Karsten,

    You may compare and verify traffic flow under MONITOR & ANALYZE>Diagnostics. You may use the following KB for reference 

     Sophos Firewall: Troubleshooting site to site IPsec VPN issues 

    Erick Jan
    Community Support Engineer | Sophos Technical Support
    Sophos Support Videos Product Documentation  |  @SophosSupport  | Sign up for SMS Alerts
    If a post solves your question use the 'Verify Answer' link.

  • 0 in reply to Erick Jan

    I found something that does not match:


    2024-09-24 14:55:56Z 22[CFG] <xx-1|551032> config: 192.168.10.0/24, received: 192.168.10.0/24 => match: 192.168.10.0/24
    2024-09-24 14:55:56Z 22[CFG] <xx-1|551032> config: 192.168.10.0/24, received: 192.168.1.0/24 => no match
    2024-09-24 14:55:56Z 22[CFG] <xx-1|551032> config: 192.168.28.0/24, received: 192.168.28.0/24 => match: 192.168.28.0/24

    Maybe you can explain it to me?

  • 0 in reply to karsten_boldt

    Most of the time, this issue is caused by a config error on either side. 

    Please review both sides carefully and check for typos or other things. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Maybe it´s a problem by design?
    I tried a similar configuration in a test enviroment between a different pfsense and a brand new XGS. the result is the same!

  • 0 in reply to karsten_boldt

    Ein Design-Problem sollte es nicht sein.

    Es ist absolut normal auf einer Seite mehrere Subnetze zu haben.

    ich glaube, es mangelt an der Verständigung zwischen PFSense und XGS.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Verwendest du IKE1 oder IKE2? ... Egal was, das muss auf beiden Seiten gleich sein.

    Antworten aus anderen Foren:
    IPSec with multiple P2 tunnels - only one will connect at once 
    Enable this to split connection entries with multiple phase 2 configurations

    ... seems you need "Two Phase 2 configs"


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Auf der Sophos kann ich nicht 2x Phase 2 einrichten.
    Oder habe ich da was übersehen?
    Es ist eine IKE2-Verbindung

  • 0 in reply to karsten_boldt

    Auf der PFSense sollte das gemacht werden. 

    "Enable this to split connection entries with multiple phase 2 configurations. Required for remote endpoints that support only a single traffic selector per child SA"

    Ich glaube, die Sophos FW macht genau das. Ich sehe bei je 2 Subnetzen auf 2 Seiten insgesamt 4 Verbindungen, von denen eine einzelne auch mal nicht aufgebaut werden kann.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • 0 in reply to karsten_boldt

    Auf der PFSense sollte das gemacht werden. 

    "Enable this to split connection entries with multiple phase 2 configurations. Required for remote endpoints that support only a single traffic selector per child SA"

    Ich glaube, die Sophos FW macht genau das. Ich sehe bei je 2 Subnetzen auf 2 Seiten insgesamt 4 Verbindungen, von denen eine einzelne auch mal nicht aufgebaut werden kann.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
No Data
Unfiltered HTML