Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1290 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Newbie Dilemma

Cringer
I am new to the VPN World, though I have been reading quite a bit on it. I need to implement a VPN as follows:

We have about 15 locations, some of which have a Dynamic IP. Our central location (HO) uses a Static IP. Most of the others have connectivity via ADSL or leased lines. Each location has maximum 5 servers and several nodes NATed behind a firewall/router. 

The goal is to be able to communicate with the servers at each location from our HO and vice versa. The nodes at the locations themselves need not communicate with HO or with other locations, neither should the servers at one location communicate with servers at other location, except HO. The current IP assignment at all the locations are on 192.168.0.1/24, etc. Thus some locations have overlap of IP addresses, since they were not networked with each other till now.

My dilemma is on chosing the type of VPN config: Road Warrior or Net-Net. In order to keep the setup at locations minimal, I am considering setting up an ASL box at HO, and installing Sentinel on all remote servers. Pls guide me whether this is at all possible in the above setup. 

Also, irrespective of the above, will each of these servers connecting on the VPN have an altogether separate IP allotment done in Sentinel, of the form 10.0.0.x to avoid the IP overlap issue between locations, without disturbing the existing LAN setup?

Any help/pointers on the above will greatly help me decide on the approach.

Thanks,
Cringer
   


This thread was automatically locked due to age.
  • 0
    Hi,
    I wuold suggest net-net VPN.
    1.) Use different IP-Ranges at each location
    2.) You have to setup at your HO ASL VPN-Definitions for all other locations. (Keep it simple: PSK, with a "good" key, 3DES or AES)
    3.) Register your ASL at the locations with DynDNS
    search the UBB for Integrating the DynDNS Client in the ASL
    4.) Implement one VPN-Definition at each Location which point to the ASL at HO-Location.
    5.) check your Rules so all traffic from the location to HO and vice versa will be forwarded.

    HTH

    Rergards

    Udo Seiler 
  • 0 in reply to Udo_Seiler
    I agree with Udo that net-net is the best bet.  If I correctly understand your original post, you want to be able to contact the servers at remote locations from HO as well as vice-versa; I don't think a Sentinel set-up will do that at all; but at least not reliably. . .in that the final control of the connection resides with the very server you may need to control!

    I have not tried net-net with DynDNS but I have read other users who have said it works well.  I can vouch that net-net with static IPs works like a dream; I've been doing it for about two years.

    Udo is also right, however, that you are going to have to set up a different IP address range for each location, or the ASL box won't know when to route traffic to the VPN and when to keep it on the local subnet (Astaro has yet to implement the Linux mind-reading application  [;)]s 192.168.1.x, and so on.

    Personal experience, though limited, leads me to believe that even in a Roadwarrior setting, your routes will behave far better if you have the remote machine's local IP subnet be in a different range from that in the network you're "VPNning" into.

    Dan   
  • 0
    Thanks Udo & Dan for your quick responses. It looks like I will have to use Net-Net. However, out of academic interest, I wish to ask: 

    Can Sentinel be set such that after the VPN tunnel is established using the public IP of ASL, the IP addressing of the two hosts (HO and remote server) be an altogether different IP range such as 10.0.0.x. If this is possible, then Sentinels at each location can have a different subnet without disturbing their current  LAN IPs. Am I thinking too futuristic, or non-sensical?  

    I am trying all possible options for Sentinel for the reason that some locations have just 1 or 2 servers, and a dedicated box for ASL there could be an overkill. Also, is it at all possible to have Sentinel on a NATed host with Private IP? The control of the VPN connection staying at the remote location can be an accepted drawback, if it helps simplify the overall setup.

    Sorry if I am sounding repetitive, but I really would love to see this work on Roadrunner   [:)]

    Cringer
      
  • 0 in reply to Cringer
    Cringer,

    I honestly don't know the answer to your Sentinel question, although my instinct (not the finest-honed diagnostic instrument in the world) leans toward "no."

    Personally I have not used Sentinel because when I tried it I found it required more Excedrin than I wanted to take, and it wasn't worth the $$ to me.  So I use PPTP for my Roadwarrior needs and net-net for my office connections.  But then, I really do need a full net-net connection for my branch anyhow, so it's a completely different requirement.

    Sorry I can't be more conclusive!

    Dan  
  • 0 in reply to martindw
    Hi Cringer,

    it won't work.
    Assume following situation:
    1.) HO set up Properly for RoadWarrior (Road-Warrior net is 192.168.100.0, Internal net is 192.168.200.0)
    2.) Your Box at a location connects with Sentinel.
    The RoadWarrior Net 192.168.100.0, you remember?
    3.) Your internal network at the location is 192.168.200.0
    4.) You enabled routing (windows-box) 
    5.) Now how does the windows-box will decide where the packet has to go? when you want to go through the pptp-tunnel? The box will say these address is on my side, oh  perhaps it could be on the other side!?!
    Sorry for direct speaking....
    ok.
    -->Saying all that like DAN said...
    So you have to clean your configurations. It doesn't matter which method you use for the tunnel. Do it one time and you don't have to do this any more and you will have less headaches.
    Sentinel (RoadWarrior IPSEC with an extra ASL for your locations)
    On each side a ASL will not overpowered. you could use rather old machines. They will strong enough for this. Have a look for the minimum requirements.
    Or you should use the Mini-Appliances for the DSL-Connection which have a Firewall with IPSEC on board.
    Perhaps they are cheaper. But the more systems, the more complicated.

    HTH

    Regards

    Udo  
  • 0 in reply to Udo_Seiler
    If these servers are sitting behind an IP that can handle one-to-one NAT then it will in fact work.  Most devices that are set up for DSL / Cable nodays support IPSec pass-thru which would provide necessary communication for one device per IP address to connect on the other end.

    This would work in your one server areas with Sentinel or any other IPSec client that you use on the remote end.  Sometimes it is tricky but it will work.

    The "easiest" is as the last two folks stated:  Net-To-Net  However, I am certain you can use Sentinel...but you are limited to One-To-One NAT....this means that for your Dynamic IP stations that only one client can be connected at a time....

    thanks...

    - Flat
    http://www.TinHenry.com  
Cookie Information Banner