Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1135 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Neewbie needs a little clarification

bill12780
Hello everyone, 
While I am NOT familiar with the RED devices or the new UTM's. I have done some reading on this subject and believe that I have the answers I need. But I have not actually purchased this equipment yet and want to make sure I am correct before such a large purchase.

I have two offices. One in Utah one in Indian. I need to connect them via VPN. But I want to limit the traffic on the VPN to our VOIP phone system and Internal Network Traffic only...For instance access to the accounting DB and our Exchange server...and have all other "internet" traffic Such as our Webstore that is hosted off site just go out through there local internet connection. Our Webstore is used by our staff to order parts and systems for our dealers. But since its hosted off site. there is not reason to clog up the VPN with HTTP stuff.

My goal is to limit the amount of bandwidth needed down the VPN and keep the latency as small as possible.

I will have a UTM-220 at HQ here in Utah and a UTM-110 in Indiana. My question is do I need a RED device in order to split tunnel like this...Or can this be done in the UTM's. I decided that I would put a smaller UTM in Indiana because I understand that if I split this with just the RED Devices, the local WAN will not have any filtering or A/V. 

So... 
1) can this be done?
2) Do I need the RED Device or can I use a SSL VPN between the two UTM's

and 
3) Is my thinking and planning here correct? Or is there a better way?

I am open to any and all constructive criticisms or suggestions.

thanks
Bill12780


This thread was automatically locked due to age.
  • 0
    Hi, Bill, and welcome to the User BB!

    I don't see how having a RED would help you - your problem can be solved by configuring two, separate tunnels.  Rather than the SSL VPN, I'd use an IPsec VPN with AES-128-PFS and certificate.  If you use the SSL VPN, select UDP instead of TCP; this selection is also valid for Remote Access, so you'll need to re-distribute configurations to the users if they've already set up the client.

    With either VPN method, the trick will be the definition of the 'Local' and 'Remote' networks.  If you have a VoIP server in each location, you'll only need to put each of those Host definitions in the right spot.  No Network definitions at all.  If you don't have local VoIP servers, you'll need to make sure that the subnets for the VoIP phones allow you to create Network definitions that only include the phones.

    Just build a separate tunnel for the Accounting and Exchange servers using Host definitions for those devices and the subnet of the clients behind the UTM 110.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,

    Wouldn't 1 tunnel be enough (with split tunneling for Internet access)?

    Bill said "for instance" he has Accounting & Exchange servers, and he has VOIP servers...

    PacketFilter rules could be used to block traffic to other internal servers/networks if needed.

    Barry
  • 0
    You're right, Barry.  I was distracted by his RED suggestion and his desire to "limit the traffic on the VPN to our VOIP phone system and Internal Network Traffic only."  Of course, if he just puts the LAN for each side in one VPN definition, he'll have what he wants.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML