Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 13160 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-Site VPN, Route Internet traffic.

dalbjerg
We have to location, in both end there are a Astaro V7 firewall.
What we want is that when location 1, is access the Internet, it just works as normal, but when location 2 is access the Internet we want to route the Internet thought the VPN connection. So that location 2, have the same IP on the Internet as location 1.

Is this possible, if it is, how?

Regards Kenneth Dalbjerg


This thread was automatically locked due to age.
Parents
  • 0
    You will want to configure the HTTP Proxy at the "Main" site (the one that accesses the Internet directly) - add "Satellite LAN" to 'Allowed Networks'.

    You don't need to set up masquerading on the Satellite unit either, since all of Satellite's traffic with the outside world will go through the tunnel to Main.  In the Main Astaro, you do need to create a masq rule: 'Satellite LAN -> External'.

    In order to ping, make sure you have the boxes checked on the 'ICMP' tab of 'Network Security >> Packet Filter'.

    You should be able to reach each Astaro from either side by addressing the private IP of its 'Internal (Address)'.

    Cheers - Bob
Reply
  • 0
    You will want to configure the HTTP Proxy at the "Main" site (the one that accesses the Internet directly) - add "Satellite LAN" to 'Allowed Networks'.

    You don't need to set up masquerading on the Satellite unit either, since all of Satellite's traffic with the outside world will go through the tunnel to Main.  In the Main Astaro, you do need to create a masq rule: 'Satellite LAN -> External'.

    In order to ping, make sure you have the boxes checked on the 'ICMP' tab of 'Network Security >> Packet Filter'.

    You should be able to reach each Astaro from either side by addressing the private IP of its 'Internal (Address)'.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Ok. I'm getting farther. At least with PING's working I can tell what's happening better. 
    1) As soon as I get connected to the VPN with the LAN forwarding to Any, DNS stops working on the Satellite ASG. It doesn't work on the Main ASG either for the Satellite LAN, even after adding the Satellite LAN range into the DNS service. 
    2) Switching my computer to use OpenDNS allows me to resolve addresses, ping things reliably, but not surf. I enabled the masquerading on the Main to allow for the Satellite LAN with no affect
    3) I turned on the WebSecurity option on Main, even though I haven't been using it with my VPN clients who can successfully PPTP into the Main office and surf.

    In order to make my life suck less I decided to setup two boxes here to test with they are .8 and .9 on the Satellite network. (I got tired of rebooting the Satellite ASG)
    1) I removed the entire Satellite LAN and replaced it with two hosts. They still forward to Any. (Check the screenshot)
    2) This helps because i can still control the Satellite ASG. 
    3) Once connected the DNS stops working again. 
    4) Visiting tools section gives me the following...
    Ping Check Result
    PING 208.67.222.222 (208.67.222.222) 56(84) bytes of data.
    64 bytes from 208.67.222.222: icmp_seq=1 ttl=55 time=373 ms
    64 bytes from 208.67.222.222: icmp_seq=2 ttl=55 time=373 ms
    and 
    DNS Lookup Result  Google
    DNS lookup did not deliver a result
    5) Turning off the Web Security Module on Satellite ASG allows .8 and .9 to begin to browse if they use OpenDNS. With it on, I get DNS errors in the style of the Proxy Blocking a site DNS Resolution Timeout. But with it off things start browsing for .8 and .9
    6) Back to the rest of the machines on the Satellite network. If I change their DNS to something OpenDNS, and leave the Web Security off. then everything is fine. They route out the Satellite's Internet connection through the ASG. 

    So we're really close. All I need to do is figure out why starting the Site-to-Site VPN connection kills the Satellite ASG's ability to function as a DNS server. 
    I can ping the DNS server in the tools section. DNS query tests return the results as seen in 4 above. 

    Thanks again for all the help. I'm sure I'm missing something simple. 
    Rob