Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 22835 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RED over UTM to IPSEC Tunnel

mjpmotw
Dear all

I have an SG330 with two RED devices and an IP-SEC Tunnel connected.
All clients behind the RED and behind the Tunnel connect easily to the central network at SG330

I now need a connection from a client behind a RED to a Server behind the IPSEC Network and I fail to understand.

UTM SG 330 with an internal network: 172.16.0.0/16
RED with a network: 192.168.50.0/24
IPSEC with a network: 172.20.0.0/16

What do I need to configure?
Network Protection Firwall
Interface&Routing/Static Routing
Network Protection/NAT

Thank you for your help and kind regards, Matthias


This thread was automatically locked due to age.
Parents
  • 0
    I'm not very good until I can "see" the topology.  Is it?
    {192.186.50.0/24}[RED][SG330]{172.16.0.0/16}
                                  |
                              (IPsec)
                                  |
                           {172.20.0.0/16}

    And, you want clients in 192.168.50.0/24 to be able to reach IPs in 172.20.0.0/16?  I don't think you can use routing...
      Add {172.20.0.0/16} in 'Split networks' in the RED definition if it is not in "Unified" mode.
    • Add {192.186.50.0/24} to the IPsec tunnel definition in 'Local networks' in the SSG and in the equivalent of 'Remote networks' in the other IPsec endpoint.
    • Adjust DNS accordingly.

    You may want to limit the VPN to less access for the folks in {192.186.50.0/24}, and you can do that with Firewall rules or with a separate IPsec tunnel between {192.186.50.0/24} and {172.20.0.0/16}.  Any luck with that approach?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    I'm not very good until I can "see" the topology.  Is it?
    {192.186.50.0/24}[RED][SG330]{172.16.0.0/16}
                                  |
                              (IPsec)
                                  |
                           {172.20.0.0/16}

    And, you want clients in 192.168.50.0/24 to be able to reach IPs in 172.20.0.0/16?  I don't think you can use routing...
      Add {172.20.0.0/16} in 'Split networks' in the RED definition if it is not in "Unified" mode.
    • Add {192.186.50.0/24} to the IPsec tunnel definition in 'Local networks' in the SSG and in the equivalent of 'Remote networks' in the other IPsec endpoint.
    • Adjust DNS accordingly.

    You may want to limit the VPN to less access for the folks in {192.186.50.0/24}, and you can do that with Firewall rules or with a separate IPsec tunnel between {192.186.50.0/24} and {172.20.0.0/16}.  Any luck with that approach?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    The topology is designed wonderful and perfect.

    I already have tunnel from {192.186.50.0/24}[RED] to {172.20.0.0/16}[ASG120] but I want to break it as it causes massiv performance issues that I can hardly isolate. Therefore I aim for that routing approach.

    My RED have unified tunnels as I like the Webfilter approach (transparent, no proxy). I could use the standard tunnel in RED and use proxy to permit direct internet access but unified tunnel and transparent filtering seemend easier.

    I need to check your ideas. I thought this was a simple "routing" issue [:)]
Unfiltered HTML