Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 20016 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Basic VPN question

BAlfson
In https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/53527, mrainey posed a question about doing:

[home client] -> (SSL Remote Access) -> [ASG220] -> (IPsec Site-to-Site) -> [ASG120] -> [Terminal Server]


He was unable to accomplish this without:
  • adding the 'VPN Pool (SSL)' to 'Local networks' for the 'IPsec Connection' on the ASG220
  • creating a network definition on the 120 (SSL Pool on the 220) and adding it to 'Remote networks' for the 'Remote gateway' in the 120.

This makes it appear like he needs to alllow the internal network of the 120 to access the 'VPN Pool (SSL)' on the 220.   Is that an idiosyncracy of Terminal Server, or is there a flaw in my understanding?*

Thanks - Bob
*OK, OK, I know there are lots of flaws. [:D]


This thread was automatically locked due to age.
Parents
  • 0
    OK, I found it.  Check out Article #119116 in the KnowledgeBase.  The recommended solution is to disable 'Strict Routing' and create a NAT rule: 'VPN Pool -> [Services] -> [Remote Network] : SNAT from Internal (Address)'.

    Without the SNAT, I suspect that a request from a Road Warrior connected to Site A would indeed find a resource at Site B, but the resource would not know how to route its response back through the tunnel.  I assumed that conntrac in the Astaro at Site B would know that, which it would.  My mistake was not realizing that the resource behind the Astaro at Site B wouldn't know that.



    My characterization in the previous post is correct with 'Strict Routing' enabled, so I have modified that post.

    The solution with SNAT works even when you have no control over the remote VPN definition.  The solution with 'Strict Routing' enabled preserves any IP tracking done in the remote network.

    Thanks Dilandau and Bruce, for helping me to understand.  Please feel free to correct me if I'm still confused - and confusing others!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    OK, I found it.  Check out Article #119116 in the KnowledgeBase.  The recommended solution is to disable 'Strict Routing' and create a NAT rule: 'VPN Pool -> [Services] -> [Remote Network] : SNAT from Internal (Address)'.

    Without the SNAT, I suspect that a request from a Road Warrior connected to Site A would indeed find a resource at Site B, but the resource would not know how to route its response back through the tunnel.  I assumed that conntrac in the Astaro at Site B would know that, which it would.  My mistake was not realizing that the resource behind the Astaro at Site B wouldn't know that.



    My characterization in the previous post is correct with 'Strict Routing' enabled, so I have modified that post.

    The solution with SNAT works even when you have no control over the remote VPN definition.  The solution with 'Strict Routing' enabled preserves any IP tracking done in the remote network.

    Thanks Dilandau and Bruce, for helping me to understand.  Please feel free to correct me if I'm still confused - and confusing others!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Unfiltered HTML