access subnet with RDP after logging in with SSL VPN

Thanks.  How about the 'Remote Gateway' definition from the ASG220 and both corresponding defs from the 120?

If everything from those looks correct, then you may just need to switch on strict routing.

CHeers - Bob

OK, here are the BR ASG120 screenshots. FYI: The HCI Touro is the NO Subnet.

No SSL VPN definition is needed on the ASG120 if you want to:

[home client] -> (Remote Access VPN) -> [ASG220] -> (Site-to-Site VPN) -> [ASG120] -> [Terminal Server]

Do you have the SSL VPN defined on the ASG120 for another reason?

If I get the names correctly, it looks like you do have the internal network* of BR included in 'Local Networks' for the SSLVPN defined on the 220 at NO - correct?

The problem could be in the 'Remote Gateway' definitions.  Can we see those for both the 120 and 220?  FWIW, the pics you already posted were very difficult to read when I made them large enough to read.

Also, is it your intent to have the branch offices "see" BR, NO and each other?

* Note: This is the subnet of 'Internal (Network)' on the ASG120 at NO, not the public IP of the External interface.

Yeah! You got it Bob. The remote gateway was the key. I needed to add the NO VPN POOL to the IPSEC definition on the 220 and to the Remote Gateway definition on the 120. As soon as I added it to both sides, the SA connected and RDP worked. I forgot about the remote gateway local networks settings. But note, that it was required to add the VPN Pool definitions to the IPSEC and Remote Gateway. It did not work with just the site subnets defined.

The reason I have Remote Access SSL set up on both the 220 and 120 is because some people work primarily at the 120 site and need occasional access to the 220 and visa versa.
Sorry about the quality of the pics, when I saved at better quality, they were larger than the guidelines. I'll have to work on that for future reference.

Thanks again, you have been a big help.

Great!  Are you sure you need the 'VPN Pool (SSL)'?  I don't understand why they might be necessary.  Can you show pics of where you added them?

Thanks for helping us all learn here.

Cheers - Bob

Well, it did not work before I added the VPN Pool to the IPSEC and Remote Gateway, and it did work after I added them. I guess the subnets over the IPSEC site to site connections are not considered LOCAL by Remote Access?
Sorry about the quality of the screenshots, but here is the pic of the IPSEC on the 220 and the Remote Gateway on the 120

OK, well I must admit I don't see why it's necessary, so I hope Gert or another Astaro guru will come by and explain that to me so that we all can learn.

As Dilandau suggested, you already had changed the subnet for 'VPN Pool (SSL)', so there's no conflict.

Cheers and Thanks! - Bob

I was close, but no cigar!  See my thread https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/53531.

The net of that thread is that mrainey's solution is exactly correct if 'Strict Routing' is enabled.

On the other hand, if he only had control over the ASG220 on the NO side of the tunnel, another solution is possible.  KnowledgeBase article 119116 recommends turning 'Strict Routing' off and creating a SNAT:

Source: VPN Pool (SSL)
Service: RDP
Destination: [Internal IP of Terminal Server at other site wth ASG120]

Change Source: Internal (Address)

Thanks to Dilandau and BruceKConvergent for helping me to understand.

Cheers - Bob