Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 10529 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG2ASG RED: Cannot access remote RED ip addresses from main subnet

mrainey
I have 4 offices connected with ASG Site2Site VPN's. The home site has numerous sub-nets. They can all happily ping one another. Two of the offices are also connected to the home office via a RED Tunnel on a different sub-net for the purpose of uploading security video (The RED Tunnel is required because the security sub-net has to be the same.)

So, the offices are .1.x; .2.x, .3.x, and .4.x subnets
The security subnet is .8.x connected via a RED Tunnel with a bridged interface on the ASG's. If I am on the .8.x subnet I can ping all devices at any of the 3 connected offices.

However, if I am on the .1.x subnet at the home office, I can only ping local devices on the .8.x subnet. I cannot ping devices at the other end of the RED Tunnels. There are firewall rules to allow traffic between all of the internal subnets. So, any idea how to get the traffic to go across the RED Tunnels from a non-RED subnet?


This thread was automatically locked due to age.
  • 0
    This feels like a routing problem.  How about a picture of the Edit of one of the RED definitions?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    OK, here is a snap shot of the RED Client and the RED Host. Seems like a routing problem to me too, but there doesn't seem to be any options for routing in the RED definitions.
  • 0
    Can you really see those? [;)]  Maybe I should have had another cup of coffee this morning!

    Just the RED Host is what I was looking for.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Sorry, I didn't notice how small it got when I converted the screen shot to jpg. Try this one.
  • 0
    Hmmm.  What about the VPN - is the .8.x subnet included?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    No it is not. Seems like that would violate the intent of the RED. Traffic is clearly going across the tunnel. Wouldn't it be odd to have a site2site rule that went 8.x subnet to 8.x subnet?
  • 0
    Also want to point out, that from the ASG220 tools, I can ping the 8.3 interface on the remote ASG120, but from PC's on either of the internal subnets, 1.x or 7.x, I cannot. There is a firewall rule on both systems that says any traffice is allowed both ways between those subnets.
  • 0
    So, you confirm that the .8.x subnet is not mentioned in any VPN definitions?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    That is correct, the 8.x subnet appears in no vpn definitions. There is a NAT rule to the external interface and a firewall rule permitting traffic from 8.x to the other subnets. That's all.
  • 0
    This is a challenge, isn't it!?!  Let me explain your configuration in different words to know that I "see" it correctly...

    In four locations, you have an ASG.  You have a hub-and-spoke VPN setup with the three remote offices so that they can reach the main office and the other offices via VPN; this all works correctly.

    In the main office ASG, you have defined a RED tunnel for each remote office and bridged all three redsx interfaces with a physical NIC connected to your security video recorder.  In each remote location, the reds0 interface is bridged to a NIC connected to your security cameras. Is that all right?

    In all four locations, the only .8.x devices "visible" to the local PC network are the ones local to their ASG.  Is that right?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML