Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 40459 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Suddenly lost access to a remote subnet on a RED tunnek?

JohnKenny
I have a Sophos UTM running 2 RED tunnels, I had them running and they were working great.  I could access the remote subnets at both sites and vice versa.  But today i lost access to one of those subnets and nothing has changed.  I cant figure out why?  The other RED tunnel is fine i can still access that subnet.  I have static routes and everything, the UTM can ping that subnet though so its just the Hosts on my LAN that cant.

Can anyone help as i cant work it out as it has been fine for ages??

Thanks

JK


This thread was automatically locked due to age.
  • 0
    Hi JK,

    Is the problematic RED Tunnel UP?

    Please post the RED live log here [:)]

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v20 Technician

  • 0
    yeah the tunnel is up, i havent changed anything.

    The UTM can ping the remote subnet, but not the local hosts.

    Which log do you want, there is only the one RED log yeah?

    this is an excert from the Live log: -

    2015:10:22-12:06:22 sophos_utm_kenny red_server[476]: 7f1360751c12bdb: PONG local_tx=8769
    2015:10:22-12:06:26 sophos_utm_kenny red_server[548]: 4db441488b9f56a: command 'PING 120'
    2015:10:22-12:06:26 sophos_utm_kenny red_server[548]: 4db441488b9f56a: PING remote_tx=120 local_rx=121 diff=-1
    2015:10:22-12:06:26 sophos_utm_kenny red_server[548]: 4db441488b9f56a: PONG local_tx=120
    2015:10:22-12:06:38 sophos_utm_kenny red_server[476]: 7f1360751c12bdb: command 'PING 11587'
    2015:10:22-12:06:38 sophos_utm_kenny red_server[476]: 7f1360751c12bdb: PING remote_tx=11587 local_rx=11588 diff=-1
    2015:10:22-12:06:38 sophos_utm_kenny red_server[476]: 7f1360751c12bdb: PONG local_tx=8770
    2015:10:22-12:06:42 sophos_utm_kenny red_server[548]: 4db441488b9f56a: command 'PING 124'
    2015:10:22-12:06:42 sophos_utm_kenny red_server[548]: 4db441488b9f56a: PING remote_tx=124 local_rx=125 diff=-1
    2015:10:22-12:06:42 sophos_utm_kenny red_server[548]: 4db441488b9f56a: PONG local_tx=124
    2015:10:22-12:06:54 sophos_utm_kenny red_server[476]: 7f1360751c12bdb: command 'PING 11588'
    2015:10:22-12:06:54 sophos_utm_kenny red_server[476]: 7f1360751c12bdb: PING remote_tx=11588 local_rx=11589 diff=-1
    2015:10:22-12:06:54 sophos_utm_kenny red_server[476]: 7f1360751c12bdb: PONG local_tx=8772
    2015:10:22-12:06:57 sophos_utm_kenny red_server[548]: 4db441488b9f56a: command 'PING 127'
    2015:10:22-12:06:57 sophos_utm_kenny red_server[548]: 4db441488b9f56a: PING remote_tx=127 local_rx=128 diff=-1
    2015:10:22-12:06:57 sophos_utm_kenny red_server[548]: 4db441488b9f56a: PONG local_tx=127

    JK

    CompKickers

  • 0
    Have you tried having someone power-cycle the RED?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Ive tried resetting the RED tunnel at both ends including the interfaces, but still nothing.  See if there was a fault with sophos surely it would affect the 2nd tunnel we use to a 2nd location?

    Any more ideas?

    Thanks

    JK

    JK

    CompKickers

  • 0
    Try a "tracert -d " where  is on the "unreachable" network, and then on the working red network, post the results here :-)

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v20 Technician

  • 0
    to unreachable subnet: -

    Tracing route to 172.16.0.1 over a maximum of 30 hops

      1  172.16.10.25  reports: Destination host unreachable.

    Trace complete.

    To reachable subnet: -

    Tracing route to BDMDC01 [192.168.0.50]
    over a maximum of 30 hops:

      1    

    JK

    CompKickers

  • 0
    Okay, try post the "Routes Table" from Support -> Advanced

    Remember to mask your WAN IP's if you want privacy :-)

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v20 Technician

  • 0
    default via WANIPHIDDEN.1 dev eth1  table 200  proto kernel onlink 
    local default dev lo  table 252  scope host 
    default via WANIPHIDDEN.1 dev eth1  table default  proto kernel  metric 20 onlink 
    WANIPHIDDEN.0/22 dev eth1  proto kernel  scope link  src WANIPHIDDEN.183 
    127.0.0.0/8 dev lo  scope link 
    172.16.0.0/24 via 172.16.2.2 dev reds15  proto static  metric 5 
    172.16.2.0/24 dev reds15  proto kernel  scope link  src 172.16.2.1 
    172.16.3.0/24 dev reds5  proto kernel  scope link  src 172.16.3.1 
    172.16.10.0/24 dev eth2  proto kernel  scope link  src 172.16.10.1 
    172.16.28.0/24 dev eth0  proto kernel  scope link  src 172.16.28.1 
    192.168.0.0/24 via 172.16.3.2 dev reds5  proto static  metric 5 
    broadcast WANIPHIDDEN.0 dev eth1  table local  proto kernel  scope link  src WANIPHIDDEN.183 
    local WANIPHIDDEN.183 dev eth1  table local  proto kernel  scope host  src WANIPHIDDEN.183 
    broadcast WANIPHIDDEN.255 dev eth1  table local  proto kernel  scope link  src WANIPHIDDEN.183 
    broadcast 127.0.0.0 dev lo  table local  proto kernel  scope link  src 127.0.0.1 
    local 127.0.0.0/8 dev lo  table local  proto kernel  scope host  src 127.0.0.1 
    local 127.0.0.1 dev lo  table local  proto kernel  scope host  src 127.0.0.1 
    broadcast 127.255.255.255 dev lo  table local  proto kernel  scope link  src 127.0.0.1 
    broadcast 172.16.2.0 dev reds15  table local  proto kernel  scope link  src 172.16.2.1 
    local 172.16.2.1 dev reds15  table local  proto kernel  scope host  src 172.16.2.1 
    broadcast 172.16.2.255 dev reds15  table local  proto kernel  scope link  src 172.16.2.1 
    broadcast 172.16.3.0 dev reds5  table local  proto kernel  scope link  src 172.16.3.1 
    local 172.16.3.1 dev reds5  table local  proto kernel  scope host  src 172.16.3.1 
    broadcast 172.16.3.255 dev reds5  table local  proto kernel  scope link  src 172.16.3.1 
    broadcast 172.16.10.0 dev eth2  table local  proto kernel  scope link  src 172.16.10.1 
    local 172.16.10.1 dev eth2  table local  proto kernel  scope host  src 172.16.10.1 
    broadcast 172.16.10.255 dev eth2  table local  proto kernel  scope link  src 172.16.10.1 
    broadcast 172.16.28.0 dev eth0  table local  proto kernel  scope link  src 172.16.28.1 
    local 172.16.28.1 dev eth0  table local  proto kernel  scope host  src 172.16.28.1 
    broadcast 172.16.28.255 dev eth0  table local  proto kernel  scope link  src 172.16.28.1 
    unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101
    unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101
    local ::1 dev lo  table local  proto none  metric 0 
    unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101

    Thanks

    JK

    CompKickers

  • 0
    172.16.0.0/24 via 172.16.2.2 dev reds15 proto static metric 5


    Can you ping 172.16.2.2 from your end and the remote end?

    Have you typed anything into Static Routes? - because of the "via" entry.

    It looks funny.

    Here is the only thing from my own setup, there is no "via" entry:

    192.168.70.0/24 dev reds1  proto kernel  scope link  src 192.168.70.1 

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v20 Technician

  • 0
    the via is for the RED tunnel interfaces, no i have not added any manual static routes these are auto generated.

    I cannot ping the 2 RED tunnel interfaces, 172.16.2.2 & 172.16.2.1.

    The tunnel must be working as this is the tracert from the UTM tools: -

    traceroute to 172.16.0.11 (172.16.0.11), 30 hops max, 40 byte packets using UDP

     1  172.16.2.2 (172.16.2.2)  20.701 ms   23.344 ms   21.644 ms

     2  172.16.0.11 (172.16.0.11)  31.205 ms * *

    As you can see the 2 UTM's can ping each other accross the RED tunnel, its just the clients at each end that cannot.

    Weird aint it?

    Any ideas?

    JK

    JK

    CompKickers

Unfiltered HTML