Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1292 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Newbie Dilemma

Cringer
I am new to the VPN World, though I have been reading quite a bit on it. I need to implement a VPN as follows:

We have about 15 locations, some of which have a Dynamic IP. Our central location (HO) uses a Static IP. Most of the others have connectivity via ADSL or leased lines. Each location has maximum 5 servers and several nodes NATed behind a firewall/router. 

The goal is to be able to communicate with the servers at each location from our HO and vice versa. The nodes at the locations themselves need not communicate with HO or with other locations, neither should the servers at one location communicate with servers at other location, except HO. The current IP assignment at all the locations are on 192.168.0.1/24, etc. Thus some locations have overlap of IP addresses, since they were not networked with each other till now.

My dilemma is on chosing the type of VPN config: Road Warrior or Net-Net. In order to keep the setup at locations minimal, I am considering setting up an ASL box at HO, and installing Sentinel on all remote servers. Pls guide me whether this is at all possible in the above setup. 

Also, irrespective of the above, will each of these servers connecting on the VPN have an altogether separate IP allotment done in Sentinel, of the form 10.0.0.x to avoid the IP overlap issue between locations, without disturbing the existing LAN setup?

Any help/pointers on the above will greatly help me decide on the approach.

Thanks,
Cringer
   


This thread was automatically locked due to age.
Parents
  • 0
    Thanks Udo & Dan for your quick responses. It looks like I will have to use Net-Net. However, out of academic interest, I wish to ask: 

    Can Sentinel be set such that after the VPN tunnel is established using the public IP of ASL, the IP addressing of the two hosts (HO and remote server) be an altogether different IP range such as 10.0.0.x. If this is possible, then Sentinels at each location can have a different subnet without disturbing their current  LAN IPs. Am I thinking too futuristic, or non-sensical?  

    I am trying all possible options for Sentinel for the reason that some locations have just 1 or 2 servers, and a dedicated box for ASL there could be an overkill. Also, is it at all possible to have Sentinel on a NATed host with Private IP? The control of the VPN connection staying at the remote location can be an accepted drawback, if it helps simplify the overall setup.

    Sorry if I am sounding repetitive, but I really would love to see this work on Roadrunner   [:)]

    Cringer
      
  • 0 in reply to Cringer
    Cringer,

    I honestly don't know the answer to your Sentinel question, although my instinct (not the finest-honed diagnostic instrument in the world) leans toward "no."

    Personally I have not used Sentinel because when I tried it I found it required more Excedrin than I wanted to take, and it wasn't worth the $$ to me.  So I use PPTP for my Roadwarrior needs and net-net for my office connections.  But then, I really do need a full net-net connection for my branch anyhow, so it's a completely different requirement.

    Sorry I can't be more conclusive!

    Dan  
  • 0 in reply to martindw
    Hi Cringer,

    it won't work.
    Assume following situation:
    1.) HO set up Properly for RoadWarrior (Road-Warrior net is 192.168.100.0, Internal net is 192.168.200.0)
    2.) Your Box at a location connects with Sentinel.
    The RoadWarrior Net 192.168.100.0, you remember?
    3.) Your internal network at the location is 192.168.200.0
    4.) You enabled routing (windows-box) 
    5.) Now how does the windows-box will decide where the packet has to go? when you want to go through the pptp-tunnel? The box will say these address is on my side, oh  perhaps it could be on the other side!?!
    Sorry for direct speaking....
    ok.
    -->Saying all that like DAN said...
    So you have to clean your configurations. It doesn't matter which method you use for the tunnel. Do it one time and you don't have to do this any more and you will have less headaches.
    Sentinel (RoadWarrior IPSEC with an extra ASL for your locations)
    On each side a ASL will not overpowered. you could use rather old machines. They will strong enough for this. Have a look for the minimum requirements.
    Or you should use the Mini-Appliances for the DSL-Connection which have a Firewall with IPSEC on board.
    Perhaps they are cheaper. But the more systems, the more complicated.

    HTH

    Regards

    Udo  
Reply
  • 0 in reply to martindw
    Hi Cringer,

    it won't work.
    Assume following situation:
    1.) HO set up Properly for RoadWarrior (Road-Warrior net is 192.168.100.0, Internal net is 192.168.200.0)
    2.) Your Box at a location connects with Sentinel.
    The RoadWarrior Net 192.168.100.0, you remember?
    3.) Your internal network at the location is 192.168.200.0
    4.) You enabled routing (windows-box) 
    5.) Now how does the windows-box will decide where the packet has to go? when you want to go through the pptp-tunnel? The box will say these address is on my side, oh  perhaps it could be on the other side!?!
    Sorry for direct speaking....
    ok.
    -->Saying all that like DAN said...
    So you have to clean your configurations. It doesn't matter which method you use for the tunnel. Do it one time and you don't have to do this any more and you will have less headaches.
    Sentinel (RoadWarrior IPSEC with an extra ASL for your locations)
    On each side a ASL will not overpowered. you could use rather old machines. They will strong enough for this. Have a look for the minimum requirements.
    Or you should use the Mini-Appliances for the DSL-Connection which have a Firewall with IPSEC on board.
    Perhaps they are cheaper. But the more systems, the more complicated.

    HTH

    Regards

    Udo  
Children
  • 0 in reply to Udo_Seiler
    If these servers are sitting behind an IP that can handle one-to-one NAT then it will in fact work.  Most devices that are set up for DSL / Cable nodays support IPSec pass-thru which would provide necessary communication for one device per IP address to connect on the other end.

    This would work in your one server areas with Sentinel or any other IPSec client that you use on the remote end.  Sometimes it is tricky but it will work.

    The "easiest" is as the last two folks stated:  Net-To-Net  However, I am certain you can use Sentinel...but you are limited to One-To-One NAT....this means that for your Dynamic IP stations that only one client can be connected at a time....

    thanks...

    - Flat
    http://www.TinHenry.com  
Cookie Information Banner