This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Routing - Access through 2 VPNs

Hi there. I have the following Setup:

Location AMS with a ASG220 and the 172.30.129.0/24 network. Location BSL has a ASG120 with the 172.30.130.0/24 network.
I have a working IPSec Site-Site VPN between AMS and BSL.

AMS (172.30.129.0/24  BSL (172.30.129.0/24)

Now I need to connect to an external party. Let's call them MM. They have a Cisco VPN concentrator. I need to make 8 hosts visible. I created a IPSec Site-Site between AMS and MM where in the Remote Gateway definition of MM I added the 8 hosts in the Remote Network. This works fine from AMS.

MM (192.168.10.12/32, 192.168.12.87/32 ...)  AMS (172.30.129.0/24)  BSL (172.30.130.0/24)

Now my clients at BSL also need to access those 8 hosts. I read in another post (https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/53407) with a similar problem.

So in the AMS to BSL VPN I added in the remote gateway in BSL (which points to AMS) the 8 hosts as remote network. On the AMS side of this VPN I added the 8 Hosts as local network.

In the AMS to MM VPN I added the BSL network (172.30.130.0/24) as local network.

VPNs come up all green. When I do a traceroute from BSL to a host in AMS I see it going through the tunnel, but a trace to one of the 8 hosts it exits at BSL through the Internet Interface (EXT) and does not go through the AMS-BSL VPN.

I'm I missing something? Am I totally unclear? How can I proceed to debug this problem? Does anyone has an idea?


This thread was automatically locked due to age.
Parents
  • Can you post pictures of the remote gateways and IPsec Connections?

    Also, perhaps a diagram to make it clear what's where?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • I attached a png with an overview.

    At the Site BSL I have the following configured on the ASG120:

    Remote Gateway
    Name: AMSFW20
    Gateway type: Initiate connection
    Remote Networks:
      - AMS_Network (which is 172.30.129.0/24)
      - MM_Host01 (192.168.10.12/32)
      - MM_Host02 (192.168.12.87/32) ... up to MM_host08

    Under the IP Sec connections I have this remote hosts set.
    Connections
    Local interface is External (WAN)
    Local network is Internal (network) (which is 172.30.130.0/24)

    Auto packet filter is on
    Strict routing is off


    At Site AMS I have the following:
    Remote Gateways
    Name: BSLFW20
    Gateway type: respond only
    Remote networks: BSL_net (which is 172.30.130.0/24)


    Name: MM_VPN
    Gateway type: Initiate connection
    Remote Networks:
      - MM_Host01 (192.168.10.12/32)
      - MM_Host02 (192.168.12.87/32) ... up to MM_host08

    Connections
    Name BSL - AMS
    Remote Gateway: BSLFW20
    Local Interface: External (WAN)
    Local Networks:
      - Internal (Network) (which is 172.30.129.0/24)
      - MM_Host01 (192.168.10.12/32)
      - MM_Host02 (192.168.12.87/32) ... up to MM_host08
    Auto packet filter is on
    Strict routing is off

    Name MM_VPN
    Remote Gateway: MM_VPN
    Local Interface: External (WAN)
    Local Networks:
      - Internal (Network) (which is 172.30.129.0/24)
      - BSL_net (which is 172.30.130.0/24)
    Autopacket filter is on
    Strict routing is off


    The VPN tunnels come up and show up green. I can access Servers in AMS from BSL. I can also access clients in BSL from AMS. From AMS I can access Servers at the external Site MM. But when I try to access Servers at the external Site MM from BSL it doesn't work. A trace suggests that it tries to exit at the external interface instead of going through the VPN tunnel to AMS first.

    Here a traceroute from BSL to a Server in AMS:
     1    
Reply
  • I attached a png with an overview.

    At the Site BSL I have the following configured on the ASG120:

    Remote Gateway
    Name: AMSFW20
    Gateway type: Initiate connection
    Remote Networks:
      - AMS_Network (which is 172.30.129.0/24)
      - MM_Host01 (192.168.10.12/32)
      - MM_Host02 (192.168.12.87/32) ... up to MM_host08

    Under the IP Sec connections I have this remote hosts set.
    Connections
    Local interface is External (WAN)
    Local network is Internal (network) (which is 172.30.130.0/24)

    Auto packet filter is on
    Strict routing is off


    At Site AMS I have the following:
    Remote Gateways
    Name: BSLFW20
    Gateway type: respond only
    Remote networks: BSL_net (which is 172.30.130.0/24)


    Name: MM_VPN
    Gateway type: Initiate connection
    Remote Networks:
      - MM_Host01 (192.168.10.12/32)
      - MM_Host02 (192.168.12.87/32) ... up to MM_host08

    Connections
    Name BSL - AMS
    Remote Gateway: BSLFW20
    Local Interface: External (WAN)
    Local Networks:
      - Internal (Network) (which is 172.30.129.0/24)
      - MM_Host01 (192.168.10.12/32)
      - MM_Host02 (192.168.12.87/32) ... up to MM_host08
    Auto packet filter is on
    Strict routing is off

    Name MM_VPN
    Remote Gateway: MM_VPN
    Local Interface: External (WAN)
    Local Networks:
      - Internal (Network) (which is 172.30.129.0/24)
      - BSL_net (which is 172.30.130.0/24)
    Autopacket filter is on
    Strict routing is off


    The VPN tunnels come up and show up green. I can access Servers in AMS from BSL. I can also access clients in BSL from AMS. From AMS I can access Servers at the external Site MM. But when I try to access Servers at the external Site MM from BSL it doesn't work. A trace suggests that it tries to exit at the external interface instead of going through the VPN tunnel to AMS first.

    Here a traceroute from BSL to a Server in AMS:
     1    
Children