Accessing Mailserver on DMZ from VPN subnets

Perhaps a static route from Internal2 to MailserverDMZ1 using VPN2to1, and another from Internal3 to MailserverDMZ1 using VPN3to1?

johnjobst, I can't do as you suggest because the VPN tunnels are not available as a target in static routing. . .or if I can, how do I do it?  You're right, this would be the most logical thing. . .

drees, I tried:

1) simply opening ports (clearly not enough)

2)  I created a second IP address on my internal ethernet port (at site 1), verified that I could ping that ip address across the VPN from site 2, and then created a DNAT/SNAT rule that translated the destination of that IP address to my DMZ mailserver address.  I also opened packet filter rules to allow internal addresses at site 2 to hit the DMZ on site 1, because the packets were being dropped by box 1.  However, it still couldn't access the mailserver.  Turn off the DNAT/SNAT and I can ping the address again.

I'm still having problems visualizing your setup. Are you able to better illustrate by using actual (or made up if you're worried about disclosing that type of information) IPs/networks?

It sounds like you are likely missing a DNAT/SNAT rule somewhere to me.

But first a clarification of the problem:

Three subnets--#1 192.168.0.0/24, #2 192.168.5.0/24, and #3 192.168.6.0/24, all connected via VPN tunnels to their respective WAN ips.  Traffic to the internet from all three sites, and traffic between the sites, works flawlessly.

Now I have a DMZ1, 10.3.2.0/24 on site 1 (and DMZ2 10.3.0.0/24 at site 2).  My mailserver is on one IP of that DMZ1, and it's DMZ1 ip address is DNAT/SNATed to a second public IP address on the WAN ethernet card of box 1.  It can be accessed publicly from anywhere using the public IP address, and privately from subnet #1 but not from subnets 2 or 3.

What I just did which worked, is I created a second VPN tunnel between the public IP addresses of boxes 1 and 2, with the local subnets defined as the DMZ networks at each box, and opened an "Any" filter in and out between the two DMZs.  Then, at subnet #2, I created a DNAT/SNAT rule that changes the source of LAN2 traffic destined for the mailserver on DMZ1, to source address DMZ2.  This permitted the traffic to pass.

It seems a little odd to me that I need an extra VPN tunnel to make this work, but I'm not gonna argue with success.  If anyone wants to suggest an alternate solution I'm all ears!

But first a clarification of the problem:

Three subnets--#1 192.168.0.0/24, #2 192.168.5.0/24, and #3 192.168.6.0/24, all connected via VPN tunnels to their respective WAN ips.  Traffic to the internet from all three sites, and traffic between the sites, works flawlessly.

Now I have a DMZ1, 10.3.2.0/24 on site 1 (and DMZ2 10.3.0.0/24 at site 2).  My mailserver is on one IP of that DMZ1, and it's DMZ1 ip address is DNAT/SNATed to a second public IP address on the WAN ethernet card of box 1.  It can be accessed publicly from anywhere using the public IP address, and privately from subnet #1 but not from subnets 2 or 3.

What I just did which worked, is I created a second VPN tunnel between the public IP addresses of boxes 1 and 2, with the local subnets defined as the DMZ networks at each box, and opened an "Any" filter in and out between the two DMZs.  Then, at subnet #2, I created a DNAT/SNAT rule that changes the source of LAN2 traffic destined for the mailserver on DMZ1, to source address DMZ2.  This permitted the traffic to pass.

It seems a little odd to me that I need an extra VPN tunnel to make this work, but I'm not gonna argue with success.  If anyone wants to suggest an alternate solution I'm all ears!

Nope, that's exactly what you need to do.

With v7 you can supposedly add multiple subnets to the same VPN connection, but that's not something I've tried myself as I'm not using v7 in any production scenarios where I need that type of setup, yet.