Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 1 subscriber
  • Views 336 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Accessing NAT Router across IPSEC

dlightfoot
I think I have a simple requirement but my knowledge of both IPSEC and Astaro are limited. I have 2 networks(HQ, Branch) successfully connected via Astaro IPSEC. I have a router on the Branch subnet that NATs out to 20+ private host IP's at a partners site. They are all in differnet subnets so I need to do each IP seperately. I need to have access to those 20+ IP's at the HQ office. How do I setup the tunnel(s) to allow my HQ to see those IP's.

   HQ                               Branch                          Private IP's
10.0.8.0/24    10.0.0.0/24       142.182.20.8


This thread was automatically locked due to age.
  • 0
    Sorry for the late reply!

    I just did this... First, on the Astaro side, you need to define each of the remote subnets (or hosts). Next, if you are using Astaro v7 (much easier), add all of these to the VPN configuration (Remote Gateways; Remote Networks). This tells the Astaro to route packets destined for these networks through that VPN tunnel.

    In v6, I simply created another tunnel for that subnet, using the same endpoints as for the "main" network on the far side. This is less elegant than the v7 solution, but it works. On the upside, it is easier to take down a protected network form the "bundle" of tunnels, whereas with v7, it's all or nothing.

    Next, on the far end, you will need to add those hosts (or subnets) to the VPN configuration. This is entirely dependent upon the type of VPN hardware/software in use on that side. (I was going between a v6 Astaro on my side and a v7 Astaro on the client side).

    Traffic from the remote hosts should route to their default gateway (which I assume is the NAT device). This should know to forward those packets to the VPN gateway over there (if not, you'll need to enter a static route for your network into it). The VPN gateway knows (per the above) to route such packets through the VPN tunnel back to you.

    On your side, the Astaro knows to route all packets destined for one of the remote hosts through the VPN tunnel to the endpoint on the far side. That box should then know how to get to the NAT device (are they the same?). If it does not, you'll need to enter static routes for all of those hosts in that box.

    In my case, I had to do the following:

    My side: ASL (Novell SecurityManager) v6 (192.168.100.0/24)
    Client: ASL v7 (10.110.103.0/24)
    Client's remote site: SonicWALL TZ-170 SonicOS Standard 3.3.0.6 (10.110.92.0/24)

    I added a network definition for my client's remote site in my v6 box (10.110.92.0/24). Next, I created a second VPN tunnel to my client's endpoint, selecting 10.110.92.0/24 as the remote network. I then went to the client's v7 box, and added my LAN (192.168.100.0/24) to the "local LANs" for the client's remote site VPN configuration, and added the client's remote site's network (already defined!), 10.110.92.0/24, to my client's VPN configuration for the tunnel coming back to my network. Finally, I logged into the SonicWALL and added my network (192.168.100.0/24) to the VPN configuration for it's tunnel back to my client's office.

    Harder to explain than to do!! [:)]
Cookie Information Banner