How to setup a RED split tunnel?

That would require another ASG in the remote location instead of a RED.  You have to think of the split tunnel from the viewpoint of the ASG, not the RED.  In the ASG, you determine what IPs can be reached through it by the devices connected to the RED.

You also could split the remote network with only some machines "behind" the RED.  Of course, the others would not be able to use the RED tunnel to reach the main office .

Cheers - Bob

So how would I split the remote network with only some machines behind the RED? Would I need a separate switch and have those connect outside of the RED network, or is there a way to accomplish this just via software in the ASG?

You have to do it with the physical wiring in the remote location.  Another way to think of the RED is to see it as a looooong Ethernet extension - whatever you can do with an Interface definition in the ASG applies.

Cheers - Bob

OK, so just to confirm, there is no way without physical wiring to split tunnel off a few devices if only a RED is installed at the remote location.

I guess I am confused as to what the 2 split tunnel options do then when setting up a RED

OK, so I understand that split tunnel essentially makes all traffic go to the local WAN port (not processed by the ASG).  So my question is, if I setup a RED in split tunnel mode will it offer any firewall/security features or will it just be issuing DHCP/DNS services at that point?

Another way to put it is would services like mail security/antivirus be available if the RED was setup in split tunnel mode?

I would think that most people use split tunnel to speed up web access at the expense of not having the AV and control provided by Astaro Web Security.  You can use DHCP though to distribute a PAC file that forces all web accesses through the RED tunnel to the HTTP Proxy while exempting a select few sites to which you want to allow direct access.

I don't know a way to use the POP3 Proxy with a split tunnel, but Mail Security with the SMTP Proxy should work fine if you have your own mail server.

Cheers - Bob

Split Tunnel VPN allows only the traffic defined to pass across the VPN connection made by the RED device.  All other traffic is simply sent across the WAN Interface directly to the Internet. 

So for example, if your Main Office IP Network was 10.10.1.0/24 and your Remote Office was 10.10.2.0/24.  At the remote office in split tunnel mode, traffic looking for the 10.10.1.0/24 network will be passed across the RED to the Main Office.  Traffic going to any other IP range is simply routed directly to the Internet.  Traffic going directly to the Internet is not scanning by Web Security, Anti-Virus, or any other service on the ASG.  Currently you can't even designated what TCP services are allowed and not allowed.  It simply passes ALL traffic to the Internet, besides that looking for the main network and it doesn't look like Astaro plans on adding these features to the RED anytime soon.

If you need Web Security for certain users and not others then you would need to setup Proxy for those users to the ASG.  If you need even more control over the Remote Network, then use an ASG instead of the RED Device.

Thanks for all the answers.  So would even basic firewall capabilities be active on devices that are on the RED network via split tunnel?  I understand about the proxy solution, but now I am just wondering about regular firewall rules or port blocks.  

Thanks in advance

[...]  So would even basic firewall capabilities be active on devices that are on the RED network via split tunnel?[...]

No, there would be no security feature at all for any paket NOT going through the tunnel. 
But you certainly can filter the traffic going through the tunnel on the ASG side.

Kind regards,
Matthias