Site-to-Site VPN, Route Internet traffic.

Bob, 
Thanks so much for your help. 

Ok, Here are my screenshots. I took a few minutes to rename things to make more sense to everyone. 

If I'm not using the HTTP Proxy at the remote location yet, do I still need to add it? I am not familiar with the Masquerade stuff yet. I'll look it up, but what is it?
Rob

You will want to configure the HTTP Proxy at the "Main" site (the one that accesses the Internet directly) - add "Satellite LAN" to 'Allowed Networks'.

You don't need to set up masquerading on the Satellite unit either, since all of Satellite's traffic with the outside world will go through the tunnel to Main.  In the Main Astaro, you do need to create a masq rule: 'Satellite LAN -> External'.

In order to ping, make sure you have the boxes checked on the 'ICMP' tab of 'Network Security >> Packet Filter'.

You should be able to reach each Astaro from either side by addressing the private IP of its 'Internal (Address)'.

Cheers - Bob

Ok. I'm getting farther. At least with PING's working I can tell what's happening better. 
1) As soon as I get connected to the VPN with the LAN forwarding to Any, DNS stops working on the Satellite ASG. It doesn't work on the Main ASG either for the Satellite LAN, even after adding the Satellite LAN range into the DNS service. 
2) Switching my computer to use OpenDNS allows me to resolve addresses, ping things reliably, but not surf. I enabled the masquerading on the Main to allow for the Satellite LAN with no affect
3) I turned on the WebSecurity option on Main, even though I haven't been using it with my VPN clients who can successfully PPTP into the Main office and surf.

In order to make my life suck less I decided to setup two boxes here to test with they are .8 and .9 on the Satellite network. (I got tired of rebooting the Satellite ASG)
1) I removed the entire Satellite LAN and replaced it with two hosts. They still forward to Any. (Check the screenshot)
2) This helps because i can still control the Satellite ASG. 
3) Once connected the DNS stops working again. 
4) Visiting tools section gives me the following...
Ping Check Result
PING 208.67.222.222 (208.67.222.222) 56(84) bytes of data.
64 bytes from 208.67.222.222: icmp_seq=1 ttl=55 time=373 ms
64 bytes from 208.67.222.222: icmp_seq=2 ttl=55 time=373 ms
and 
DNS Lookup Result  Google
DNS lookup did not deliver a result
5) Turning off the Web Security Module on Satellite ASG allows .8 and .9 to begin to browse if they use OpenDNS. With it on, I get DNS errors in the style of the Proxy Blocking a site DNS Resolution Timeout. But with it off things start browsing for .8 and .9
6) Back to the rest of the machines on the Satellite network. If I change their DNS to something OpenDNS, and leave the Web Security off. then everything is fine. They route out the Satellite's Internet connection through the ASG. 

So we're really close. All I need to do is figure out why starting the Site-to-Site VPN connection kills the Satellite ASG's ability to function as a DNS server. 
I can ping the DNS server in the tools section. DNS query tests return the results as seen in 4 above. 

Thanks again for all the help. I'm sure I'm missing something simple. 
Rob

I mean if you have more than one Network, we have DMZ network on that firewalls, with public IP address.

Rob, another (untested) idea...

In the Satellite ASG, change the forwarder to the IP of the 'Internal (Address)' of the Main ASG.

In the Main ASG, create a host definition with the IP of the 'Internal (Address)' of Satellite and add it to 'Allowed Networks' in the DNS Proxy.

Dalbjerg, now, how do you reach the DMZ from your 'Internal (Network)'?

Cheers - Bob

If I added the entire Satellite network into the allowed DNS of the Main, should that be inclusive of the one IP of the Satellite ASG?

If so, I tried that and it doesn't work. 
Rob

Yes, that should have included it, but there's no reason to allow the entire subnet.  In the Satellite network, if you don't have an internal DNS, the clients should point to the Astaro for DNS and its forwarder should be the private, internal IP of the Main ASG - is that what you have?

I setup the Satellite DNS to forward to the LAN ip of the Main ASG.
For the record, I'd prefer it to get DNS from the Internet of the Satellite network, because I'm not 100% convinced I want all the traffic over the VPN, but whatever. At this point DNS is DNS and making it work is more important.

The Main ASG's allowed to provide DNS to the entire Satellite Internal Subnet for now. 
It doesn't work however. 

When I run the DNS tests on the Satellite, I get the following:
DNS Lookup Result 
DNS lookup did not deliver a result

if I check Verbose, I get this partially successful result.

DNS Lookup Result 
Trying "www.google.com"

;; ->>HEADERGoogle. IN ANY

;; ANSWER SECTION:
Google. 559126 IN CNAME Google.
;; AUTHORITY SECTION:
google.com. 136181 IN NS ns3.google.com.
google.com. 136181 IN NS ns4.google.com.
google.com. 136181 IN NS ns1.google.com.
google.com. 136181 IN NS ns2.google.com.

Received 124 bytes from 127.0.0.1#53 in 0 ms

I'd like to turn on the WebCache on the Satellite, so that the VPN bandwidth is saved.
Thanks,
Rob

Rob, I think you need to get a different brain on this - can you submit a support ticket?

On the Satellite, you can't actuvate the cache without activating the HTTP/S Proxy.  I don't know how to do that and have the Proxy send traffic through the site-to-site.

Can you check the Intrusion Protection log to see if that's catching the packets?  You probably need to put each side's internal network into the other side's Source Exclusions and add the internal IP of the Main ASG to the list of DNS servers on the Satellite side.

The Packet Filter log?

Cheers - Bob

PS Important note from Jack Daniels: https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/p/53579/194806#194806

BAlfson: it was not from my internally network the problems was. Its was from the rest of the world.