[8.285][QUESTION][OPEN] RED : Presto you have a Tunnel ?

Site-to-Site VPN using RED Protocol
    We have added the ability to make tunnels between ASG devices using our much-heralded RED tunnel technology. This operates similarly to how site-site over SSL works;
        Login to the main site, go to the RED section, add a RED, and pick type "ASG".
        Download the provisioning file which is created
        Login to the remote site, go to the Client [Tunnel Management] tab in RED
        Add a tunnel, enter the hostname of the ASG and supply the provisioning file you downloaded.
        Presto, you'll have a tunnel!

        *Note: this will NOT turn your remote ASG into a RED terminal. It will still have a GUI and work like a normal Site-Site VPN does.
        *Note 2: We will likely move this feature into the VPN section in a future 8.3 Beta release.

All done - tunnel is up but no traffic thru it - just ping / pong.

Documentation on this is missing - so for someone trying out RED for the very first time in ASG to ASG this is far more confusing than site2site vpn - not much presto about it.

Could someone explain what the thoughts about ASG's as RED is? Are you suppose to add routes and firewall rules your self or ?
Basically this feature seems to be a little in the dark where you have to figure out how the developer put it together.

I really want to test this part in its full extent..
  • Vels, I participated in an alpha test of this last year, and it should just work.  Actually, this is just like another interface; you shouldn't need routes, but you will need Firewall rules.  Read the help on the 'Deployment Helper' tab for some examples that should make it easier to choose the particular approach you want to take.

    Cheers - Bob
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Thanks Bob,

    I think I must be kinda stupid here or making this way harder than it is.

    1.) RED server on workplace, prov file loaded into home ASG - lights are green.
    2.) Allowed my home LAN access to the work network on both sites and the other way around as 1 and 2 in the Packet Filter - allow any service.

    No go..

    3.) tried to setup new interfaces for the redc with an IP at home for the work network and on the work network for my home lan. 

    No go..

    4.) setup the redc Eth's to DHCP - no go.

    I read all the help many times - and the only thing yet to try is to begin setting up at bridge for the redc eth's to my local network. But maybe thats part of the magic ?

    Hope you can enlighten me a little - I toasted both company and home firewall just to try out this feature to test i early and even got permission from the boss since more network transparency would be great.
  • ASG RED to RED.

    You have to think like normal interfaces.

    1. Setup Tunnel
    2. Setup Static routes to target IP on each ASG (so you are not falling into a routing problem for the tunnel endpoints, when using OSPF etc.)

    3. Setup Networking beetween this to ASGs, as you would do it when connecting them through ethx.
    Lets say the transfer Network ist ASG1 has, ASG2 has Setup static routes, each ASG have to know what is behind the other one, or use OSPF.


    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • Thanks Sven,

    I am currently reading a cisco document on OSPF and plan to try it out - just needed the terms in depth on that - so I will most likely go that way.

    Questions :
    When I enable ASG RED each ASG box has a definition for a new interface "redc" - I assume I have to create a new interface with that definition and assign a static IP or should that definition just be left alone ?

    Static routes to endpoints.. just for a transfer network or all networks on each site ( like site2site ) ? I have alot of VLAN's on the company, I think like 25 on primary site and 20 on secondary site. The two sites are running IPSec site2site at the moment and I would like to replace with RED tunnel insted - but that would be alot of manual routes if the above is for each network on each site.

    Thank you for explaining :-)
  • Astaro Beta Report
    Version: 8.285
    Type: QUESTION
    State: OPEN
    Reporter: vels
    Contributor: maygyver
    Target version: 
    Fixed in version: 

  • Just setup an Interface on asg1 with redsx and an Transfer Network ip.

    And an Interface on asg2 with redcx and another ip from Transfer Network now you can Ping each ip from the other Side.

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • Thanks...  think I got the concept now.

    I even got OSPF working...

    Remaining problem is that from my client network I can't get to the remote site - not matter which site I try from.
    If I use the support tools in the Astaro each site can ping any gateway address or client ip on the OSPF subnets defined.

    I made the proper PF rules that should allow client to client communication from my home lan to my work lan ( those segments are OSPF routet and verified pingable from each ASG ). 

    So far so good - it feels like I am only inches away from making it work and missed some little detail.
  • Are they pingable from the Clients?
    Please post config pages from OSPF.

    Do you set the static routes for the external Asg IPs?

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • I had actually given up for today.. and disabled the OSPF earlier today and also deleted the static routes.

    Now I just enabled the OSPF ( static routes still not present ) and disabled the IPSec Site2Site VPN.

    Guess what.. I can ping and access. For each adapter I add to OSPF at work and add/enable on the Area I can ping and access..

    Amazing.. wonder if some routes has been cached earlier or something.

    Are you sure I need static routes for the external IP's of the ASG's ? In that case how should they look ( interface route : Reds Address -> External interface ) ?

    Posting my OSPF setup anyhow - its low level just to keep it simple. One area no auth , both ASG's are members of this Area where master ASG has ID and slave ASG has

    Comments are welcome..

    Cheers - Poul
  • disabled the IPSec Site2Site VPN

    Poul, I never thought to ask about that - ouch, no wonder a second VPN for the same subnets didn't work! [:)]

    Sven, it's been over a year since I last played with this, but I know I didn't use OSPF.  I just played with it though, and I don't remember how extensively I tested it.  Since this is, in essence, a RED device as far as the ASG 220 is concerned, I don't understand why routes and/or OSPF should be necessary, although I understand that it will work with them.

    Cheers - Bob
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA