LAN -> ASTARO -> VPN -> ASTARO -> LAN -> DMZ ?????

Hello,

first of all, please check the packet filter rules at the company's ASL 
to be sure that none of your requests (from home) to the dmz
is blocked ..

Second, try a traceroute from your workstation at home to
the company's mailserver ... something like
traceroute 192.168.2.2    or   tracert 192.168.2.2

Now you should see, which route is taken:
default gate (ASL at home) or company's ASL ..

If, for example, your workstation at home uses the
default gateway of your ASL (at home), you have to add a route at your ASL (at home):
COMPANY-DMZ  ->  COMPANY-ASL-IP (lan)

As long as the mailservers uses the ASL (company) as default-gateway, 
there should be no changes necessary because the routing
is know 'cause of the VPN-connection ..

--
Short Version of Routing [:)]
At home:
192.168.2.0 (DMZ Company)  ->  10.1.1.x (ASL Company)
--

hope this helps
Tom

Hi,
I think that the tunnel is just permitting you to access your lan with the vpnsetup you have done. Change your vpn setup to allow more networks. Under IPSec connection -> Subnet Definition (optional) -> Local subnet, change to any network (or maybe its possible to create a network group that includes the dmz and the lan). This is done on the company astaro. You have to change the remote subnet on your home astaro to include the networks you created on the company astaro. This will also allow dmz traffic to go trough the tunnel. This should be working, hopefully... [:)]

Found another document that was interesting, check this out:
http://portal.knowledgebase.net/display/2n/articleDirect/index.asp?aid=119116&r=0.799267

Worked for me

Hello,

thank you very much for the answers. I will try as described.

Thanks a lot...

HuGO

Hello again,

I did try both possibilities. In remote subnet i can only set the 10.1.1.0 Net. If i define a Network-Group, this group will not be shown in the drop down menu to select in the IPSEC-Connection setting.

I did set both Astaros to ANY allow. so it cant be a problem with the package filters I think.

The touting table looks like this:

192.168.1.0/24   -> 10.1.1.0/24
This routing does work perfect.

If I setup a static rout with (at home)

Network=192.168.2.0 --> Target=10.1.1.5 (Company Firewall) 

and try to do a tracroute from 192.168.1.0 the packages will be send out using the std. gateway to the internet. So teh packages for target network 192.168.2.0 are not routet to the VPN.

I don't know whats wrong.

Thanks..

HuGO

Meanwhile I talked with the support ..
It's not possible with routing and it's not possible
to work with network groups at the IPSec-connection definition.

So, you have to establish an IPSec-tunnel for each network, like:
VPN_LAN  ->  home-net
VPN_DMZ1 ->  home-net
VPN_DMZ2 ->  home-net


Hope this helps
Tom

[ QUOTE ]

The touting table looks like this:

192.168.1.0/24   -> 10.1.1.0/24
This routing does work perfect.

If I setup a static rout with (at home)

Network=192.168.2.0 --> Target=10.1.1.5 (Company Firewall) 

and try to do a tracroute from 192.168.1.0 the packages will be send out using the std. gateway to the internet. So teh packages for target network 192.168.2.0 are not routet to the VPN.

I don't know whats wrong.

Thanks..

HuGO 

[/ QUOTE ]

plz check your vpn setup ('remote network'=10.1.1.0/24). Only traffic to that network would be routed over the ipsec tunnel.

You need an additional ipsec connection for the remote network (192.168.2.0/24) or change your ip design and use CIDR.

regards
Claus