Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 2097 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM to UTM RED config when bridge not possible?

mrainey
UTM 9.109 Have main office with 3 branches. Site2site vpn connections OK. I have a security subnet, say x.x.1.x, that is extended to all 4 locations with a red tunnel from main to branches and bridged with br0. Everything works OK.

Apparently, the UTM only supports 1 bridge. So now I have a problem. I have an access control subnet, say x.x.2.x, that needs to be extended to one of the branches. I created a red tunnel at the branch and at main and nat the subnet to the external at both sides and created firewall rules to allow all subnets to commincate both ways. 

From the branch UTM I can ping the main site interface and any devices on that subnet. But from main, I cannot ping the branch interface. I don't have devices there yet but a ping to the interface says destination host unreachable.

The main office has uplink balancing turned on. So is the solution in a multipath rule? a static route? If it works in one direction seems like I should be able to make it work both ways.


This thread was automatically locked due to age.
  • 0
    I can't see any misconfiguration, but I admit I'm not sure what "nat the subnet to the external" means.

    What do you see in the Firewall log?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Sorry, I meant to say there is a masquerade rule in place. I will try to look through the logs this afternoon.
  • 0
    OK, I got Sophos support in on this and they thought it should work too but finally realized that there is some very tricky routing to be done, because even if the RED tunnel for the second subnet comes up, it is completely unaware a the two separate interfaces that the subnet is connected to on the UTM's.

    The only way to make this work over a RED is to make the second subnet interface an additional ip address on the already bridged interface. In other words, you cannot use 2 interfaces with separate ip addresses in a RED environment. It just doesn't work. I found that the latency introduced with the RED dual subnet scheme was intolerable (vpn average 90 ms, RED average 500 ms), so I abandoned the effort and used separate subnets on each end with a pc running a proxy service to make the translation. 

    However; a senior tech at Sophos got back to me with this solution that looks good. I will test it out when I get a managed switch to put at a branch. Here is the solution:
      
    Thanks for the reply. Given the setup. I would have recommended setting up a bridge interface on both UTMS which consisted of the RED interface and ETH 2 interface. Next, I would use this interface (BR0) and create two VLANs (one for the 192.168.10.0/24 subnet and another for the 172.16.20.0/24).

    Do you have manage switches where these UTMs are located to setup VLANs? The switch would need to be able to tag the traffic before it leaves the switch if the host machines were unable to tag the respective traffic themselves.

    This should work for you as I worked on a case yesterday where a customer had two subnets they wanted to bridge with a RED 50 and ETH7 and it worked beautifully with VLAN setup over a bridge interface consisting of the RED interface and the respective ethernet standard interface. The setup is slightly different but in principal it is same idea.


    Regards, 

    Jason Simon 
    Sophos Technical Support
Unfiltered HTML