Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 2228 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site-to-Site SSL-VPN

patrick.schneider
Hello,

I want to set up a site-to-site VPN connection between an Astaro ASG120 v7.201 and a Linux host, which is limited to OpenVPN 2.1.
Setting up a site-to-site connection between two Linux hosts running OpenVPN is no problem for me. 
I can connect to the Astaro with the SSL Remote Access OpenVPN config files provided by the Webuserinterface, routing works so far (on the client).
Unfortunately I can't ping any machine on the Astaro's internal network from machines from the client's network, because the hosts on the Astaro's internal network don't know a route back to the client's network. This would be fixed by adding client-specific routing information, as shown here:
HOWTO
My question: Is there an option in the Astaro's webinterface to configure the OpenVPN server in this way? Or do I really have to edit the OpenVPN config file in 
/var/sec/chroot-openvpn/etc/openvpn/openvpn.conf ?
Would the manual changes be persistent, even if i change the options in the Webinterface?

Network information:
Astaro's internal net: 10.222.1.0/24
SSL-VPN-net: 10.242.2.0/24
Client's internal net: 192.168.2.0/24
Client's default-gw: 192.168.2.1

Astaro's routing table: 

10.242.2.2 dev tun0  proto kernel  scope link  src 10.242.2.1 

WWW.***.YYY.ZZZ dev ppp0  proto kernel  scope link  src 

WWW.***.YYY.ZZZ

10.222.1.0/24 dev eth0  proto kernel  scope link  src 10.222.1.222 

10.242.2.0/24 via 10.242.2.2 dev tun0 

127.0.0.0/8 dev lo  scope link 

default via WWW.***.YYY.ZZZ dev ppp0  proto kernel 


Client's routing table: 

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

10.242.2.5      0.0.0.0         255.255.255.255 UH    0      0        0 tun0

10.242.2.1      10.242.2.5      255.255.255.255 UGH   0      0        0 tun0

10.222.1.0      10.242.2.5      255.255.255.0   UG    0      0        0 tun0

192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1

0.0.0.0         192.168.2.1     0.0.0.0         UG    0      0        0 eth1

Host on the client's network routing table: 

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

192.168.2.0     0.0.0.0         255.255.255.0   U     1      0        0 eth0

0.0.0.0         192.168.2.2     0.0.0.0         UG    0      0        0 eth0

Thanks in advance.

Kind regards,
Patrick


This thread was automatically locked due to age.
Parents
  • 0
    I'm sorry that I don't have time right now to give you a better explanation, but this can be done inside the Astaro.  You've already figured out how to get the other server to "call" the Astaro, so that's the hard part.  Look in 'Network >> Routing'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Bob, 
    thanks for your quick response!
    Do you mean, that I have to create a new network definition for 192.168.2.0/24(which interface should I use? WAN/Internal/DMZ/ANY), create a new static route
    Type Gateway Route
    Network: 192.168.2.0/24
    Gateway: ??? (I tried to drag'n'drop my SSL-User's network definition (1 host), but the webinterface didn't let me do it, "Internal (address)" also did not work, creating a host definition with the Astaro's internal IP is not working, because the IP is already assigned to the "Internal (address)" interface)
    I added a host-definition for the VPN-IP-address of my SSL-client, created a new static route for the Client's network definition 192.168.2.0/24 via the host definition of the SSL-client, still no luck...
    I'm a little stuck.
    Any hints are appreciated...

    Kind regards,
    Patrick

    [EDIT]
    After poking around a little more, I guess I have to use Policy Routing to accomplish this?
  • 0 in reply to patrick.schneider
    to be honest: i don't think its senseful to invest too much time in this - anything u can do upto 7.305 will be "illegal" work on CLI
    we counting days for 7.4, which will have Site-2-Site-SSL included...
  • 0 in reply to AMros
    @AMros
    Thanks for the info regarding the 7.400beta, which I didn't noticed yet.
    I'll give it a try as soon as it final... any estimations when it will be released?

    Kind regards,
    Patrick
  • 0 in reply to patrick.schneider
    Hello,

    can somebody explain me how to add the route back to my client's network using the Webinterface?
    I added:
    * a network definition for 192.168.2.0/24, "VPN Client Network"
    * a host definition for 10.242.2.6 "VPN Client Gateway", which is the IP address of the VPN client in the VPN-network
    * a new static gateway route:
       Network: "VPN Client Network"
       Gateway: "VPN Client Gateway"

    After that, I enabled the static route, but it doesn't show up in the Astaro's routing table (checked that by SSH).

    Kind Regards,
    Patrick
  • 0 in reply to patrick.schneider
    @AMros
    Thanks for the info regarding the 7.400beta, which I didn't noticed yet.
    I'll give it a try as soon as it final... any estimations when it will be released?

    Kind regards,
    Patrick


    Beta4 (7.385) published last night - 7.4 expected latest at CeBit...
    a.
  • 0 in reply to AMros
    Hello,

    thanks for the notice. I installed ASG 7.385beta at home on my VMware ESXi. It looks good so far, one thing I am missing is the option to import "standart" OpenVPN config files, keys and certificates. You have to manually edit the Astaro's SSL-Site-to-Site Server/Client config files, which is a little annoying...

    Regards,
    Patrick
  • 0 in reply to patrick.schneider
    the ssl-site2site is based on a client-server model; if u select server role, the config will be created with your input and u can download it - if u select client, it just asks for the downloaded config-file from the server..
    had no closer look to this, but maybe the upload on client is the import u searching for!
    cheers, andre
Reply
  • 0 in reply to patrick.schneider
    the ssl-site2site is based on a client-server model; if u select server role, the config will be created with your input and u can download it - if u select client, it just asks for the downloaded config-file from the server..
    had no closer look to this, but maybe the upload on client is the import u searching for!
    cheers, andre
Children
No Data
Cookie Information Banner