Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1038 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NET-NET VPN: Adding another subnet?

Matt Siemens
Hi All,

I have a question about setting up access to an additional subnet between two already VPNed offices.

We currently have two Astaro firewalls (both 3.208) connecting two of our offices in a NET to NET configuration.  Office A uses the IP addressing 192.168.0.0/16 and Office B uses 10.2.0.0/16.  Office A can access Office B's network across the VPN and vice versa.

Recently a DMZ segment was added to Office A using 10.1.4.0/24 addressing.  Can anyone recommend the best way to allow Office B to access systems in the DMZ subnet located at Office A?  Do I have to create another VPN tunnel between the two offices, or is there some kind of fancy routing trick that will do the job?

Thanks!

--Matt


This thread was automatically locked due to age.
Parents
  • 0
    Matt:

    I myself would add a second VPN tunnel to your DMZ through the office A Firewall.

    Rayzor
  • 0 in reply to Rayzor
    ...just an idea..

      

     One tunnel plus advanced routing 
    It is also possible to use the new routing features in 2.2 and later kernels to avoid most needs for multple tunnels. 

    Why not route traffic from Office B to Office A(DMZ) out ipsec0 with iproute2?

    or another idea..=> change ip address and netmask

      

    example:
    192.168.100.0/24 development 
    192.168.101.0/24 production 
    192.168.102.0/24 marketing 
    192.168.103.0/24 administration 

    192.168.100.0/24 remote hosts can access only development 
    192.168.100.0/23 remote hosts can access development or production 
    192.168.102.0/23 remote hosts can access marketing or administration 
    192.168.100.0/22 remote hosts can access any of the four departments 

    ...Claus...   
     
     [size="1"][ 12 September 2002, 09:57: Message edited by: ClausP ][/size]
  • 0 in reply to ClausP
    Hi Matt...
    I learned a few days ago from astaro, that the only "official" way is to create another VPN, because IPSEC-tunnels only route INTO another net, not THROUGH another net. I have three VPNs running to connect two LANs and to connect each LAN with the other end´s DMZ. I have a much bigger problem, because i want to use an isdn-router in the DMZ of one site to be used by the other site to connect to about 80 customer-LANs.
    The only "inofficial" way i see, is to create a GRE(PPtP)-tunnel between two linux-boxes in each LAN (through the ASL´s VPN), telling the ASL on one site to use the linux-box as gateway for the 80 customer-LANs and NAT it on the other end in an IP of the LAN. Then the packets go the same way they go in that LAN normally (to the ASL, to the router in the DMZ,...) - hopefully...

    Ciao,
         Pedro
Reply
  • 0 in reply to ClausP
    Hi Matt...
    I learned a few days ago from astaro, that the only "official" way is to create another VPN, because IPSEC-tunnels only route INTO another net, not THROUGH another net. I have three VPNs running to connect two LANs and to connect each LAN with the other end´s DMZ. I have a much bigger problem, because i want to use an isdn-router in the DMZ of one site to be used by the other site to connect to about 80 customer-LANs.
    The only "inofficial" way i see, is to create a GRE(PPtP)-tunnel between two linux-boxes in each LAN (through the ASL´s VPN), telling the ASL on one site to use the linux-box as gateway for the 80 customer-LANs and NAT it on the other end in an IP of the LAN. Then the packets go the same way they go in that LAN normally (to the ASL, to the router in the DMZ,...) - hopefully...

    Ciao,
         Pedro
Children
No Data