Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 3048 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Policy routing issue with site-to-site VPN subnet

Davidk
I have a site to site VPN configured and functional

0.0.0.0/0=(ASG120) 208.106.32.100 to 67.121.249.3=10.242.5.0/24

All desired internal resources are accessible between the two sites and there are no issues with the VPN itself.

However, I also placed a policy route on the ASG120 to send all VPN traffic into the core network, including internet bound traffic so that it can go through our other appliances before exiting the network via a separate internet firewall.

Policy route as configured is:

Source: 10.242.0.0/16 going anywhere using any service, route to 172.16.10.1 (our internal router)

The observed behavior on the other hand, is that internet bound traffic from our VPN subnet (10.242.5.0/24) gets forwarded out the ASG120's default gateway directly and is not sent into the core network as desired. Is there something I'm missing to make the policy route work?


This thread was automatically locked due to age.
Parents
  • 0
    Hi, David, and welcome to the User BB!

    I'm a bit confused by your explanation. Where is the ASG120 - is it in your "core network" or is that behind 67.121.249.3?

    Is there a reason that the standard subnet for the "VPN Pool (Cisco)" was chosen as the local subnet behind the device at 67.121.249.3?

    It would be helpful to see a picture (press [Go Advanced], below) of the 'Site-to-site VPN tunnel status' (in WebAdmin, just press on 'Site-to-site VPN').

    Cheers - Bob
Reply
  • 0
    Hi, David, and welcome to the User BB!

    I'm a bit confused by your explanation. Where is the ASG120 - is it in your "core network" or is that behind 67.121.249.3?

    Is there a reason that the standard subnet for the "VPN Pool (Cisco)" was chosen as the local subnet behind the device at 67.121.249.3?

    It would be helpful to see a picture (press [Go Advanced], below) of the 'Site-to-site VPN tunnel status' (in WebAdmin, just press on 'Site-to-site VPN').

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    I didn't see a "go advanced" button on the ASG120 but here's a little paste of the tunnel status. 



    Here's a little horrible visio diagram to clarify the setup. As far as addressing goes, all of our VPN connections are in 10.242.0.0/16 for simplicity's sake.



    There is a policy route in the ASG120 to send all traffic originating from the 10.242.5.0/24 VPN network into my core network, including internet bound traffic.

    Observed behavior is that the internet traffic from 10.242.5.0/24 is routed out of the ASG120's internet interface instead of into my core network. Other VPN traffic to access core services such as email and intranet websites functions as desired so it's just the policy route that seems to be ignored. That would be fine except for the fact that this means all of our VPN connections are not passing web traffic through our appliance that sits in front of the internet firewall, giving VPN sites unfiltered web access.