Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 25 subscribers
  • Views 2691 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing VPN Traffic

panic
Hallo,

ich habe folgendes Problem:

Standort A Astaro mit fester IP

Standort B Astaro mit dynamischer IP

Beide Standorte sind mit einem Site2SiteVPN verbunden.

Es sollen fast alle Verbindungen von Standort B über die IP-Adresse von Standort A laufen.

Unter Standort B im IPSec-Tab -> Entfernte Gateways -> Entfernte Netzwerke habe ich Internet IPV4 eingetragen. Das funktioniert soweit ganz gut. Aber leider haben wir bei vielen (vorallem ausländische) Adressen einen Timeout. Der Timeout ist immer und nur für bestimmte Adressen.

Was noch möglich wäre, wenn wir gezielt Traffic auf bestimmte IP-Adressen über Standort A leiten würden. Hier habe ich dann versucht unter Routing-> Richtlinien Routing einzurichten. Aber dann lädt die Adresse, bis ein Timeout kommt.

Hat irgendwer eine Idee, wie ich das hinbekommen kann?


This thread was automatically locked due to age.
  • 0
    Wird über den WebProxy gesurft? Ist das entfernte Netzwerk B da eingetragen?
  • 0
    (Sorry, my German-speaking brain isn't forming thoughts at the moment.[:(])

    The routes for VPNs take precedence over the manual routes you create, so your routing approach can't work.
    Unter Standort B im IPSec-Tab -> Entfernte Gateways -> Entfernte Netzwerke habe ich Internet IPV4 eingetragen.

    Remove "Internet IPv4" from 'Entfernte Netzwerke' in Standort B and from 'Lokale Netzwerke' in Standort A.  A trick is needed...

    Now we will build another tunnel between the two sites using a phantom subnet the same size as "Interne (Netzwerk)" in Standort B.  In Standort A, put only "Internet IPv4" into 'Lokale Netzwerke' and the phantom subnet in 'Entfernte Netzwerke'.  (Don't forget to create a Masquerading rule in Standort A - '{phantom subnet} -> Externe' and to make any necessary Firewall rules.)

    In Standort B, put "Internet IPv4" into 'Entfernte Netzwerke' and the phantom subnet into 'Lokale Netzwerke', making sure that 'Strict Routing' is not selected in the IPsec Connection.  Now for the trick:

    1:1 NAT : Interne (Netzwerk) -> Any -> {bestimmte IP-Adressen} : Map Source to {phantom subnet}


    Now, any traffic to the"bestimmte IP-Adressen" will be SNATted into the new tunnel to Standort A, and all other traffic to the Internet will leave from the WAN connection in Standort B.

    If you didn't want to be able to identify the source of this traffic in the Astaro logs in Standort A, you could use a single phantom IP and a simple SNAT instead.  If this is only Web Surfing traffic and you have a Web Protection subscription in both locations, you could create a different solution, creating a 'Parent Proxy' in the Astaro in Standort B that uses Standort A as the Proxy for the "bestimmte IP-Adressen."

    MfG - Bob (Bitte auf Deutsch weiterhin.)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?