Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 15112 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec VPN with SonicWALL - Redirecting traffic over VPN

ulissis.correa
Hello all!

In my company we are implementing a large project to centralize all web filtering and navigation of the branche's through the Astaro Security Gateway. The software is located in a data center in a VMware virtual server infrastructure. In the branche's we have a SonicWALL TZ-100 closing a VPN with Astaro. So far so good. I can ping each other interfaces and machines behind SonicWALL. But (there is always a but) the project's goal is to make all traffic from the SonicWALL (branches) is sent through the vpn tunnel and carried over the local link the data center. According to the SonicWALL technicians, it is possible using the option called Tunnel Interface in the SonicWALL VPN configuration , which makes is possible to route traffic through the VPN. The problem is that with this mode enabled I can't find a way to configure Astaro to close the VPN. Is there any specific configuration for closing the tunnel with this option in SonicWALL?

Thank's in advance!


This thread was automatically locked due to age.
  • 0
    Version of Astaro?  Do you confirm this is an IPsec VPN?  Please show a picture of one of these 'IPsec Connection' definitions in the Astaro.

    Cheers - Bob
    PS Have you considered that you might simplify your life by replacing each SonicWall with a RED?  You likely could sell them used for more than the cost of the REDs.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Bob is right, 

    This is the exact use case why we built RED.
    Easily backhaul allvtraffic through a central ASG in the datacenter.

    You could setup a RED in 2 minutes replacing the sonicwall.

    Plug in cables into RED in the branch, type in the RED serial number in your virtualized ASG and done.
    No additional configuration required as it acts exactly like a dedicated Ethernet cable to your branch office.

    have fun
    Gert
  • 0 in reply to Gert Hansen
    Version of Astaro?  Do you confirm this is an IPsec VPN?  Please show a picture of one of these 'IPsec Connection' definitions in the Astaro.

    Cheers - Bob
    PS Have you considered that you might simplify your life by replacing each SonicWall with a RED?  You likely could sell them used for more than the cost of the REDs.


    Hi BAlfson,

    Astaro Security Gateway 8.003-12.2.
    IPSec VPN.
    The pictures are attached.

    Thank's for your reply!

    Bob is right, 

    This is the exact use case why we built RED.
    Easily backhaul allvtraffic through a central ASG in the datacenter.

    You could setup a RED in 2 minutes replacing the sonicwall.

    Plug in cables into RED in the branch, type in the RED serial number in your virtualized ASG and done.
    No additional configuration required as it acts exactly like a dedicated Ethernet cable to your branch office.

    have fun
    Gert


    Hi Gert,

    RED is a possibility too, but there are some features in SonicWALL that I think RED does not have, which are necessary for the branch's.

    Thank's for your reply!
  • 0 in reply to Gert Hansen
    Hello,

    BAlfson,

    Version 8.003-12.2.
    IPSec VPN.
    The images are at the end of the topic.

    Thanks!

    Gert Hansen,

    Yes, it would certainly be the ideal solution, but we need some features in branches and we believe that the red would not be appropriate. So we choose the the SonicWALL. Do you would have any recommendation of equipment that integrates well with Astaro and can fit into the scenario I described in my first post?

    Thanks!
  • 0
    The one obvious mistake is the inclusion of "Astaro WAN" in 'Local networks' of your 'IPsec connection' - with that removed, you should be OK.

    What features/functions/benefits do you anticipate from a SonicWall or other that you wouldn't have with a RED?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hello all!

    BAlfson,

    The inclusion of WAN was a test, but even so the VPN was closed normally. The problem is tha even with the VPN closed I can't access the WebAdmin by the other end, I can ping, but no access to WebAdmin or User Portal. I tried a Any-to-Any/Allow rule in the Packet Filter and yet, continues give me "Default DROP" in the Packet Filter log.

    About RED,

    I need some settings such as routing and local firewall, 3 links failover, VPN fail-over, split-tunneling. I know that red can act on many of these functions, but the references about the features are few, leaving a little complicated to compare the equipment.

    Thanks!
  • 0 in reply to ulissis.correa
    You have checked the Webadmin and User Portal Settings to include the other remote network? What do you want the any - any rule to do for you?

    Regards 

    Achim
  • 0 in reply to AchimSaur
    saur,

    Yes, I even tried "Any" on the Allowed Network's field and got nothing. The "Any-to-Any" is just to test if something is blocking the request's.
  • 0
    When connected via VPN, the public IP on the External interface is not visible.  You must access the Astaro via the IP of "Internal (Address)".

    [...] 3 links failover, VPN fail-over, [...] 

    I think those two items may be showstoppers for the RED.  Can someone else with more RED experience chime in?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Regarding your 1st picture this is a testnetwork, right? because the ASG WAN IP is private?
    Could you please provide some entrys of the packetfilter log, where connections are blocked?

    Other Hardware you could use are other Astaros at the remote offices, with network subscription only perhaps. But we have IPSec Tunnels up with ASG and Sonicwalls, so they should work with [;)]

    Regards

    Achim
Unfiltered HTML