Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 955 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ins Internet über andere ASG

sd12
Der komische Titel sagt es schon: Ich weiss nicht wonach ich suchen soll.

Ich habe eine ASG an Standort A und eine an B. Die beiden Maschinen haben eine Site2Site VPN.

Ich möchte nun den ganzen Internetverkehr von Standort A über das VPN an Standort B ins Netz übergeben. Wie stell ich das an?


This thread was automatically locked due to age.
  • 0
    Hallo sd12,

    selbst noch nicht gemacht (ich administriere aber ja eh weniger Astaros), aber folgende Ideen hätte ich dazu:

    Ich würde das wahrscheinlich mit einer Policy Route umsetzen.
    Source: Standort A LAN
    Service: Any
    Destination: Any

    und als Gateway dann eine IP der ASG in Standort B angeben.

    Alternativ sollte es auch gehen, das Du das Any Objekt als Remote Network definierst und Strict Routing ausschaltest.
    Mit großer Wahrscheinlichkeit funktioniert das Any Objekt in Verbindung mit SSL VPN S2S, bei IPSec könnte es u.U. schwieriger werden.

    Viel Erfolg
    Christian
  • 0 in reply to christianlouis
    Im Standort A proxies benutzen.

    Alternative, das VPN auf 0.0.0.0 in Richtung Standort B erweitern. Gibt dazu aber auch einen KB Eintrag.

    Nächsten Möglichkeit: die eine Astaro gegen ein RED tauschen.

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0
    I apologize for writing in English - my German brain isn't working well enough.

    Christian, this can be easy with IPsec, and Maygyver, one advantage of having Location A go through the HTTP/S Proxy in Location B is a reduction in the cost for licensing in Location A.

    In Location A, add the "Internet" object to the list of 'Remote Networks' in the 'Remote Gateway' definition for Location B.

    In Location B, add the "Internet" object to the list of 'Local Networks' in the 'IPsec Connection' definition for Location A.  In the HTTP/S Proxy, add "Network A" to 'Allowed networks'.  If the Proxy is not used or is in "Transparent mode" you will need a packet filter rule 'Network A -> Web Surfing -> Internet : Allow'.

    If the HTTP/S Proxy in Location B is in a non-transparent mode, you will need to use wpad.dat or a GPO to set all of the browsers in Location A to point at the IP of the "Internal (Address)" of the Astaro in Location B.

    Again, sorry German isn't flowing for me at the moment.  I hope that helps.

    mfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,

    I just stumbled upon the "any" in internet traffic, hence not presenting a proxy based solution.

    Weiter in Deutsch: wie hier dargestellt solltest Du also ne Lösung fürs Problem finden, sd12, je nach Größe des Standorts und falls Du wirklich jeden ausgehenden Traffic über Standort B routen willst und zusätzlich keine anderen Site to Site Tunnel brauchst, WAN Failover machen möchtest oder andere Kriterien und Bedürfnisse hast, die eine RED ausschließen (bspw. mehr als 30MBit Bandbreite, eine kleine ASG in der Zentrale....), wäre eine RED mit Sicherheit eine gute Alternative.

    Daher, beschreibe doch Deinen Business Case ein wenig genauer.

    Christian