IPSec from DMZ interface

I think you should go into detail.. actually I'm not sure what you really wanna do with this tunnel....  

Sorry if I was vague in my explanation.  Let me try to clear this up.  I have ASL 3.2 on a DSL connection.  It does PPPoE to the provider, but that IP address changes. However, my provider routes me a block of 32 addresses that are static. They must bring up the route once the PPPoE authenticates to their servers. Because the WAN interface IP changes, but the block of static IPs I get from them does not, it woudl be best for me to terminate the IPSec tunnel on my DMZ interface, where I have that block of addresses. There is where I ran into the problem.  When I configure the IPSec Connection to use the WAN interface, it works fine, but when I change it to use the DMZ interface, it doesn't work.  On the remote end I am using a Netscreen 5XP (if this setup sounds different from my posting about IPSec and Aggressive mode, you are correct; this is a second location I am dealing with). The Netscreen is on a T1, static IP. When I try to make it work on the DMZ, all I do is change the connection settings on the Astaro to use another interface, and then I chaneg the settings on the Netscreen to use a different remote address (the address of the ASL DMZ interface, as opposed to the ASL WAN interface, which can change from time to time) When I use the DMZ interface to terminate the tunnel, it doesn't work. I see the connectin negotiates properly on the Netscreen, but no traffic will pass. Ideas on this? is this a known issue, by chance? 

Jason  

If the other end can be set for 0.0.0.0/0 and use an RSA or certificate then you shouldn't have a problem with the dynamic IP.  Use the dynamic IP as your endpoint like you did and have the DMZ as the routed subnet.

I do this a lot where one end is dynamic and the other is static.  The dynamic end has to initiate the connection.
  

Hi there, 

is the local interface ip of the dmz interface in the local subnet you want to access from the netscreen?

gert  

Gert,

No, the DMZ interface on the ASL is not on the network segment that I want the netscreen to access via IPSec tunnel. I want  the DMZ interface on the ASL to be the tunnel endpoint (from the ASL's point of view, the "outside" of the tunnel, if that makes sense) Does this make sense?

Jason  

The ASL endpoint must be the WAN interface.  The DMZ can be the  VPN subnet.  The only thing you must do is to make  the Netscreen use 0.0.0.0/0 as the remote endpoint.  This causes it to not initiate a connection but to wait for your end to do it.  Since the Netscreen has a static IP then ASL can initiate the connection.  This should work (if Netscreen allows it) and I do this all the time.  I have one box with a static and two remotes with dynamic IPs.  The dynamic IP boxes initiate the connection to the static.
   

The ASL endpoint must be the WAN interface.  The DMZ can be the  VPN subnet.  The only thing you must do is to make  the Netscreen use 0.0.0.0/0 as the remote endpoint.  This causes it to not initiate a connection but to wait for your end to do it.  Since the Netscreen has a static IP then ASL can initiate the connection.  This should work (if Netscreen allows it) and I do this all the time.  I have one box with a static and two remotes with dynamic IPs.  The dynamic IP boxes initiate the connection to the static.
   

I am trying to do the same thing, but my routes seem to not be setting right, when I connect to the DSL/outside interface over IPSEC.   Can't anybody help me, please... More details are here:

https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/39003