Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 10533 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG2ASG RED: Cannot access remote RED ip addresses from main subnet

mrainey
I have 4 offices connected with ASG Site2Site VPN's. The home site has numerous sub-nets. They can all happily ping one another. Two of the offices are also connected to the home office via a RED Tunnel on a different sub-net for the purpose of uploading security video (The RED Tunnel is required because the security sub-net has to be the same.)

So, the offices are .1.x; .2.x, .3.x, and .4.x subnets
The security subnet is .8.x connected via a RED Tunnel with a bridged interface on the ASG's. If I am on the .8.x subnet I can ping all devices at any of the 3 connected offices.

However, if I am on the .1.x subnet at the home office, I can only ping local devices on the .8.x subnet. I cannot ping devices at the other end of the RED Tunnels. There are firewall rules to allow traffic between all of the internal subnets. So, any idea how to get the traffic to go across the RED Tunnels from a non-RED subnet?


This thread was automatically locked due to age.
  • 0
    Not quite. The first part about the 4 offices and the site2site vpn is correct. In the main office I have a RED tunnel to 2 of the remote offices. The redsx interface is bridged to a physical interface on the ASG which is connected to a switch. At the home office the video server and access point are connected to the switch, At the remotes, only an access point is connected. The cameras drive up and down the highway in buses and connect to the access points when they enter one of the bus yards. In the 3 offices where there is a RED tunnel, the local PC network can only see devices connected to the local interface's switch, nothing on the other side of the RED tunnel. So in the home office I can pint the ASG Interface, the server, and the local AP, but not the interface or AP at either of the branch offices. Likewise, at the branch, they can ping the local AP, but not the server. (Which means they cannot view their video at the branch office without putting a PC on the 8.x subnet)
  • 0
    So, is The Bridging everywhere As I guessed?

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Not sure what you mean "everywhere". On the home ASG there is a bridge with eth6 and reds1 and reds2. On the remote ASG's there is a bridge with eth3 and redc1, or redc2.
  • 0
    There is a firewall rule on both systems that says any traffice is allowed both ways between those subnets. 

    You mean something like:

    {Nets .1.x, .2.x, .3.x, .8.x} -> Any -> {Nets .1.x, .2.x, .3.x, .8.x} : Allow



    Remember that traffic through a bridge must be allowed - even in the same logical subnet.  You need '{.8.x} -> Any -> {.8.x} : Allow'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I had rules like homenet1 to 8.x any allow, homenet2 to 8.x any allow, and 8.x to homenet1 and 2 any allow. Similar on the remote ASG. The Home ASG has 8.2 network on the br0 interface. The remote has 8.3 network on the br0 interface. (Both networks are 8.0/24, the interface on home is at 8.2, on remote at 8.3) Adding an 8.x to 8.x rule on both boxes had no effect. Still can only ping local devices, not devices on the other side of the tunnel.
  • 0
    How about looking at the cameras at the other sites?  Did we already talk about looking in the Intrusion Prevention log?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    as long as I am on an 8.x device, I can ping a camera or access point at the other sites. But if I am on a non 8.x device, still can only see local devices on the 8.x subnet. IP live log shows nothing.

    Just wondering if anyone has this working? ASG to ASG RED, plus other subnets on the non-RED interfaces all talking across the RED tunnel?
  • 0
    This works, so can you tell us why it isn't working for you?

    Cheers -Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    OK, glad someone has it working, gives me hope there is a solution. Ping traffic does not seem to be visible in the live log. Is there anything I can do to determine if the traffic is failing on getting to the remote interface or returning from the remote interface?
  • 0
    I'm at a loss - time to get Support involved.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML