Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 4600 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Policy Route via VPN

maikel_night
Hi Forum,

i watch out for some info to get policy routing over a vpn working. what i want to reach is to force 2 hosts on a subnet (Subnet A) to push all traffic through a site to site vpn on the ASG120 (Router A). All other hosts should put traffic through a dedicated line on different Router (Router B). both, the site to site and the dedicated line end in the same remote subnet!!! all hosts in the subnet must have the same gateway (ASG120 - Router A).Both gateways are in the same local subnet (Subnet A) with different ips. If i have a look at the policy routing tab in backend i see a possibilty to set up a gateway route or a interface route with internal/external or dmz but never the vpn interface. how can i set up all the traffic from that 2 hosts through vpn and all other through the dedicated line? if i could, i would give that 2 hosts a different gateway but i cant, as i said all the hosts got to use the same gateway (ASG120)....thanks so much..


This thread was automatically locked due to age.
Parents
  • 0
    Maikel, I was unable to draw a picture.  Are there two different locations with two different ASGs or are there three ASGs?  When you say "all traffic through a site to site vpn," do you mean "all" and that these two servers must not communicate with each other or any other devices in their subnet?

    If I had a bit better idea of what you're trying to accomplish, I might suggest a DNAT/SNAT rule instead.

    Cheers - Bob
    PS Have you tried just adapting the instructions for creating a policy route with two WAN interfaces (KnowledgeBase 236926)?
  • 0 in reply to BAlfson
    Hi BAlfson,

    there are 2 different locations. on one side (the side i am talking about) i have 2 routers/gateways - one ASG 120 and one siemens router for the dedicated line. as i said both end in the same remote subnet - dedicated and sdsl vpn. i want to route 2 mentioned local hosts from the subnet i am talking about throght the vpn and all other local hosts on the subnet through the dedicated line, but the ASG should route all the traffic ( it is default gateway for all the hosts ).the 2 hosts must only communicate with one host in the remote subnet, but that will work for sure...thanx
  • 0 in reply to maikel_night
    OK, I think I understand now.  It seems like the easiest way to do this is to use firewalling; no need for routing (except perhaps at the other site on the other side of the VPN).  Allow only traffic from the two servers over through the ASG and only traffic from the other servers through the Siemens.  Then again, I don't know if you can do that with the Siemens, so maybe you would want to do the following instead:

    Unless you think the ASG120 couldn't handle all of the traffic, why not get rid of the Siemens so that you only have to setup one box?  Once you've done that, you can adapt the KnowledgeBase article on policy routing.

    If you have to make this work with both the ASG and the Siemens in place and the Siemens can't do firewalling, then I don't have enough experience to help.

    Cheers - Bob
    PS If the queries originate from the other side, then you'll need to make sure the ones for the two servers go out from there via the VPN, otherwise there will be some fancy SNAT/DNAT rules needed.

    PPS Why not just increase the bandwidth of the dedicated line and replace the Siemens with the Astaro?  If you want the security offerred by a VPN, then set it up, drop direct traffic with the two servers and allow it through the VPN tunnel.
  • 0 in reply to BAlfson

    If you have to make this work with both the ASG and the Siemens in place and the Siemens can't do firewalling, then I don't have enough experience to help.


    I got to make that work with the siemens because some VOIP depends on that thinggie and firewalling isnt possible by that one.... :-(

    i have to make up my mind about something....i could cut the siemens router off my lan and connect it to an interface of the ASG but what benfit would that be? nothing, right? because im at the same question, how can i send all the traffic from that both hosts to the vpn instead of dedicated line...!?
  • 0 in reply to maikel_night
    It seems to me that the more difficult question is how you will force the traffic from the remote site to come to the External IP of the ASG120.  If the connections to the servers arrive at the Astaro, they should automatically be returned by the Astaro.  If the traffic arrives via the Siemens, then you will have a lot of routing to do on both sides to get the return traffic delivered over the VPN.

    If you can't meet the VoIP requirements with the Astaro, then you might want to bridge the Astaro behind the Siemens or the Siemens behind the Astaro and increase your bandwidth on the original connection.  With the four separate ports on the ASG120, you could accomplish that either way.  The next release will allow you to combine two separate WAN connections.

    Although I don't have any experience with it, others here use the Astaro in VoIP installations.  It certainly would be easier to just do it with one device. 

    Cheers - Bob
Reply
  • 0 in reply to maikel_night
    It seems to me that the more difficult question is how you will force the traffic from the remote site to come to the External IP of the ASG120.  If the connections to the servers arrive at the Astaro, they should automatically be returned by the Astaro.  If the traffic arrives via the Siemens, then you will have a lot of routing to do on both sides to get the return traffic delivered over the VPN.

    If you can't meet the VoIP requirements with the Astaro, then you might want to bridge the Astaro behind the Siemens or the Siemens behind the Astaro and increase your bandwidth on the original connection.  With the four separate ports on the ASG120, you could accomplish that either way.  The next release will allow you to combine two separate WAN connections.

    Although I don't have any experience with it, others here use the Astaro in VoIP installations.  It certainly would be easier to just do it with one device. 

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Maikel and I have exchanged PMs on this.

    He has two offices with client PCs in each.  There are two Xerox multi-function printers in Office-1 that work with a print server in Office-2.  Each office has a Siemens phone system gateway that also routes IP traffic between the two offices on a dedicated line.  He's installing new ASGs in each office, and they will do VPN between the two offices.

    He wants all of the traffic to pass through the Astaros, but wants traffic unrelated to the Xeroxes to go to the other office via the dedicated line between the Siemens boxes.

    So, this is really stretching my understanding of the Astaro, but I'm targeting some multi-site opportunities, and I need to understand this.

    My thought is:

    • Connect Interface-0 to the Internal Network in each office.
    • Connect Interface-1 to the new WAN connection for the VPN.
    • Connect Interface-2 to the Siemens device (which would then have no other connections to the LAN).
    • Write a policy route to send the Xerox traffic through the VPN and a subsequent policy route for the remaining traffic out Interface-2.

    Is this the "right" way to accomplish this?

    Wouldn't each Astaro need to have a policy route for received traffic?

    I didn't ask what he wanted to do with regular traffic with the Internet, but it seems like the Astaro licensing would be cheaper if all internet traffic went through the dedicated line or the VPN and through an HTTP Proxy in one Astaro.  What are the routing considerations in doing that?

    Cheers - Bob
  • 0 in reply to BAlfson
    I'm only scanning this right now, and not fully digesting, so consider this to be a thought off the top of my head, out loud...

    Set up a separate subnet in each office for the Xeroxes and configure the VPN accordingly (either pass that traffic through the S2S tunnel or not).

    I'll look this over in more detail later on and will follow up, if time permits.
  • 0 in reply to LewisRosenthal
    If you
    need the two Xerox machines to pass through the tunnel and all else to go over
    the dedicated line, then this is how you would do it.

    First, make the tunnel.  Make sure that under the connections tab, you have
    the local hosts/networks set to two host definitions - one for each Xerox.  This will cause all traffic from those two hosts destined for the remote subnet through the tunnel.  No other traffic will be evaluated for the tunnel.

    Second, make a static route to route all traffic for the dedicated line to the proper gateway (rather than the default gateway).  
    Type: Gateway Route
    Network: 192.168.1.0/24
    Gateway: Siemens Router (dedicated line)

    Then you just need to make sure that filtering allows what you want and drops
    what you don't.
  • 0 in reply to Tim_Astaro
    Elegant, Tim, very elegant.  And, now that I see what you wrote, I understand that that was what Lewis was saying.

    Since I wrote the above post, I've learned a lot more about what Astaro does with a VPN.  In fact, I now believe that the solution you and Lewis propose isn't just one way, it's the right way, and maybe the only way.

    A little clarification...  In the office with the two Xerox's, the host definitions for the printers go into the Local hosts/networks box.  In the office with the printserver, it's only the host definition of the printserver.

    If I have understood correctly, the routes for VPN traffic take precedence over any routes created by the admin, so, as Tim's solution correctly assumes, you don't need to except the traffic between printers and servers as it's handled before the static or policy route is considered.

    Thanks! - Bob