Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 17231 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RED & Split Tunneling

FormerMember
FormerMember
Hi there,

my english is not so good, but I hope you understand me.

We have in our headquarter a ASG220 UTM 9 in use and in our branch office a RED 10.

Now I have not found too much on "Split Tunneling" or nothing, indicating my scenario.

I would minimize the Internet traffic running through the tunnel. The Internet traffic should directly via the Internetrouter, which ist in the branch office.

I already know that it will work - but I'm still a little hesitant when it comes to security.

If the 3-4 clients in the branch office go directly there on the internet, they have no security protection, right? Is our network in the headquarter then vulnerable to attack?


This thread was automatically locked due to age.
  • 0
    Hello s. Reutermann,

    also my english isn't the best, so let's try... ;-)

    The clients in the branch office directly "connect" (surfing) into the web via the local router (e.g. fritzbox, speedport etc.). So if there is' a security-weakness in the client himself (outdated or NO antivirus-program, disabled or no software-firewall, unpatched system-state, user-behaviour...) this can be an issue.

    On the client can run a keylogger, which sends the typed corporate-passwords into the www or scan for fileshares (reachable via vpn-tunnel) and then acts as a proxy/terminal.

    But you can tunnel the www-traffic and set QoS-Rules to limit the bandwith used für surfing/webradio and so on.

    Greetings,

    Manuel
  • FormerMember
    0 FormerMember in reply to ManuelKarl
    Hello,

    is there no Sophos-Hardware that can do both? The functional advantages of RED + Firewall function like in my headquarter?

    Other manufacturers have for such operations a "Security VPN gateways" (for example "Securepoint")
  • 0 in reply to FormerMember
    of course,

    just buy another utm appliance (110/120) with subscription or use a software-appliance (vm or physical). So you have a local filtering and the red functionality.

    Greetings,

    Manuel
  • 0
    Welcome to the User BB, s.reutermann!

    Subscriptions for the UTM 110 Appliance cost the same as those for the 10-IP software version.  You likely would want both Network Protection and Web Protection subscriptions - that costs about US$550/yr + any applicable sales taxes.

    Instead of that, it may be worthwhile to invest that annual amount to upgrade the internet connection in your HQ.  Then you might be able to use a full tunnel to your branch office without them losing response time for public web access.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • FormerMember
    0 FormerMember in reply to BAlfson
    Hello,

    thanks for the great information.

    Is it with this constellation also possible that both networks have the same network mask? Just as with the RED also. So that the VPN is a virtual LAN-Cable....

    Thanks!
  • 0 in reply to FormerMember
    Of Course you can say that the red is a (very long) virtual lan cable.
    But the red/2nd utm creates a dedicated (virtual) interface in your (hq-)utm, which you can handle like any (physical) interface (nat/pf-rules, proxy-profile, appcontrol, routing, etc.).

    Normally you can choose any subnet-adress(es) you want except the one that already exist on the primary utm.

    A 2nd UTM acts like a normal red, you can setup a profile on the master utm and import on the "slave" (red-function) utm an then set your routing/pf-rules and you're in.

    Greetings,

    Manuel
  • 0
    And, yes, you can bridge just like with the RED.  See my story: https://community.sophos.com/products/unified-threat-management/astaroorg/f/86/t/66014

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • FormerMember
    0 FormerMember
    Hey,

    last Question :-)

    A first test was successful. Now I come just not very clear with the https-traffic. How do I forward this mandatory on the Internet site and not over the VPN?

    Do you use the http-proxy? Do you have any problems with that?
  • 0
    With RED, you cannot do Policy Routes.  If, for example, you want SSH traffic to 62.72.82.92 to go direct but SMTP traffic to the same IP to go via the tunnel, then you need Umpf's solution - another, small UTM.

    It would work well for the small office to use Web Filtering in the HQ 220 via a full-tunnel RED connection - again, their download speed would be limited by the upload speed of the HQ WAN connection.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • FormerMember
    0 FormerMember
    Now I do not get it.

    To understand:
    In the store the existing RED10 should to be replaced by a UTM110/120.

    But with the proviso that the UTM110/120 is able to obtain a tunnel like RED10 (virtual LAN-Cable) AND the HTTP traffic can be directly route trough the Internet.

    My technician has now only doubt with the https-traffic. He has a bad experience with the https-proxy. How could we route the https-traffic alternative over the internet?
Unfiltered HTML