Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1299 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Internet Access through a Net-to-net VPN

friscom
My configuration is the following: a (net-to-net) VPN between two ASL FW, using a Wi-Fi link.

One of the two, lets say FW,1 has also an Internet connection, through a dedicate interface, setup to protect the access of LAN1 on FW1.

I wish that also the hosts on LAN 2 (connected to FW2), that are visible to LAN1 through the VPN, could access Internet in the same way the hosts on LAN 1 can do.

I tried to set that up but I did not succeed: hosts on LAN 1 can connect to Internet, hosts on LAN2 can not.

Is this a matter of some specific routing (of LAN2) or setting a specific gateway IP on each host of LAN2 or anything else?

Where do I miss the point? Any clue?
 [:S]   


This thread was automatically locked due to age.
  • 0
    do you have a masq rule for your remote network and of course according packet filters?

    Greetings
    cyclops   
  • 0 in reply to cyclops
    Good point!

    I originally created a masquerading rule but I see it could be wrong. 
    Should I masq my internal network (on LAN2, I guess) to the external interface of FW2 or to the internal LAN1 interface  or, eventually,  to the external interface of FW1?

    Puzzled indeed
    Francesco   
  • 0 in reply to friscom
    LAN2 masq external_interface_FW1

    Greetings
    cyclops  
  • 0 in reply to cyclops
    Hi there guys, 

    if i understood your problem you have the following setup:
     Code:

     LAN2 --- FW2 --- wifi link ---- FW1 --- Internet

                                      |

                                    LAN1

    

     
     

    you want that LAN2 can access the internet right?

    This is easily possible.
    Just replace the remote network of the IPSec connection  on FW2 
    from LAN1 to Any.
    Do the same thing for FW1, replace the local network from LAN1
    to Any.

    You also have to add a Masquaerading rule that LAN2 gets masqed 
    on the external interface on FW1.

    Don't forget to add the packetfilter rules.

    thats it.

    This setup can also be used to create a small LAN for your guests in the conference room.
    Just tunnel their traffic securely through your local LAN the main firewall and send it to the internet.

    Hope that helps, 

    regards
    Gert 
  • 0 in reply to Gert Hansen
    Gert and Cyclops,
    thansk fro your reply.

    Gert details are both correct in terms of  network layout and VPN configuration, at least they fit for my goals.

    I implemented them and they worked, though it took me a while, due to a limitation I could not figure out at first: if you have the HTTP proxy (in transparent mode) active at FW2, you cannot navigate from LAN2.

    Maybe this issue has been already explored somewhere else, but I wish to mention it here again for those willing to try.

    Gert, any idea why?

    Regards
    friscom  
  • 0 in reply to friscom
    if you use the proxy ASL will forward all traffic with the external IP which is not part of the tunnel which you created. In this case you will need another tunnel or search the forum for ipnat.local 
Cookie Information Banner