Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 1099 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[Not astaro related] Some crazy networking, please advise

x-cimo
Due to the lack of support of VPN "client" on ASG, (other than the PPTP that you can set an interface to, which would require one interface for each PPTP tunnel) I am trying to come up with a solution to establish Multiple PPTP tunnels on a Linux VM.

Basically my IPS provide Static IPs (Internet IP) over PPTP, I need to multiple static ip, so I came up with a a crasy idea, and I wonder if you guys think it could work.

I am trying to establish all the VPN on the inside of the network and "magically" pass the static IPS i got out of the VPN and pass that back to Astaro so I can use the firewall/routing etc on them.



This thread was automatically locked due to age.
  • 0
    Can't you use IPSEC?

    Don't quite understand... Or even VLANs?
  • 0 in reply to Simon Shaw
    Can't do IPsec or any site 2 site,

    The part I don't know if it would work is from the Linux VM, how could I pass the Static IPs I got from the various tunnel, and forward them to the interface on the outside.

    This might just be all too crazy..
  • 0
    This might just be all too crazy..

    Yeah, maybe you could explain to us what you want to accomplish. [:)]

    If you have a VM that can do site-to-site PPTP, then why all the tricky stuff with the Astaro?

    Cheers - Bob
  • 0
    Maybe you can use a router (or a Linux or BSD Router distribution in a VM), and put Astaro 'behind' that.

    Barry
  • 0 in reply to BAlfson
    Hey Baf!

    Allright, I'll try to be more clear:

    Basically my ISP is not able to "route" a subnet of IPs to my cable modem.

    Instead they support a PPTP tunnel that you connect to and give you a single static ip. (They are also currently unable to to route a block trough the vpn)

    The reason for the later is (this is the difficulty my ISP told me) :

    "With manual route it works, but it cannot be done in big scale in production. No attempt that we tryed worked with radius framed route attributes. Linux, BSD, fortinet, sonicwall, none support framed route for PPTP/L2TP..:"

    So for now I am stock with the options of One PPTP VPN per STATIC IP. That is not practical in Astaro as the only PPTP Client support they have can be set on an interface..... which in my case would require one interface.

    So by using one nic dedicated on my ESX and Astaro, I am trying to establish all my pptp tunnel in a VM (that works), but the part that I don't know how to do is:

    With the Static IP I now have on that VM (given by the established pptp tunnel), I need a way to bring those on the tunnel interface of the Astaro.

    The reason to do this, is:  my established pptp tunnel are a wide open, un-firewalled, I would like to take them to my asg to centralize the firewalling and make policy routing to make use of the static IP it got, just like if they came directly to that interface without vpn etc.

    However I don't know if that can be done...
  • 0 in reply to BarryG
    Maybe you can use a router (or a Linux or BSD Router distribution in a VM), and put Astaro 'behind' that.

    Barry


    This is exactly what my drawing show. Do you have an idea how the linux router could "pass" those IP to the ASG interface?
  • 0
    Assuming the router can make the PPTP connection(s), then I would recommend to try bridging the router so that Astaro sees them on it's EXT interface.
    If that works, then you should be able to use DNAT and Masq on the Astaro.

    It may also be possible to have the router route the traffic to another IP on the Astaro EXT interface (use a different subnet/network), and use the public IPs INSIDE the Astaro, with no NAT/Masq.

    Barry
  • 0 in reply to BarryG
    Thanks this is exactly what I was looking for, I will give it a shot.