Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1826 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HowTo use SMTP-Proxy over VPN

ToDo
Hi,

I need a VPN Setup to allow one System in a second location to send and receive mails using the SMTP-Proxy in the head office.

SYSTEM A (MAIL ENABLED SYSTEM) -> ASG -> VPN -> ASG head office (SMTP-PROXY) -> Internet

A Net to Net Setup won’t work, because my head office ASG seems not to be a member of the Tunnel. It’s simply not reachable, but I can talk to any other System in this Network through the tunnel.

So I have three options:

1. SNAT rule to change "membership" (Strict routing has to be off, as mentioned in the WebAdmin Help)
2. Additional address definition on the InSide Interface of the head office ASG (which will be member of the Tunnel?)
3. Host to Host Tunnel

The best way could be the Host to Host Setup, what do you think?

Is there a "Host to Host" - How-To available?

Any other option?

Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    The endpoints (firewalls) are not normally part of an IPSEC tunnel.  But you can make them part of the tunnel. 
    One way is to create an SNAT rule that takes any packets destined for the remote network that originate from the WAN interface (why this isn't working on your setup) to actually come from the internal interface (asuming that subnet is included on the VPN)
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/p/52533/191366#191366
  • 0 in reply to pablito
    O.k. so you would recommend option one from my list.

    I think this is not the best way. If you have a primary Interface and a backup Interface configured this won't work, or?

    I think the best option is number two.
  • 0 in reply to ToDo
    A 2nd VPN would be ideal but I don't know if it will work.  The SNAT is dead simple and has worked for me for a long time.  You can lock it down to single IPs so it can't be abused over the VPN by curious users that discover the newly reachable IP.

    The backup interface might work anyway but only if the VPN follows the new IP.  If the ASL uses an internal DNS you can use MX records that would secondary to another server if it can't reach the primary instead of pointing to only a single server.
  • 0 in reply to pablito
    Just finished my setup:

    SYSTEM A (MAIL ENABLED SYSTEM) -> ASG -> VPN (Net to Net) -> ASG head office (SMTP-PROXY) / Additional address definition -> Internet

    SYSTEM A will send mails using the smtp-proxy listening on the additional address from my asg in the head office.

    The head office Firewall has to use our SNAT rule to reach SYSTEM A.

    Thanks pablito!
Reply
  • 0 in reply to pablito
    Just finished my setup:

    SYSTEM A (MAIL ENABLED SYSTEM) -> ASG -> VPN (Net to Net) -> ASG head office (SMTP-PROXY) / Additional address definition -> Internet

    SYSTEM A will send mails using the smtp-proxy listening on the additional address from my asg in the head office.

    The head office Firewall has to use our SNAT rule to reach SYSTEM A.

    Thanks pablito!
Children
No Data
Cookie Information Banner