Howto force all traffic through vpn-tunnel

You don't want 'Any' in there.  This needs to just have the local networks.  You need to create a policy route for the traffic you want to force through the tunnel.

Thanks Bob,

I also thaught so, but couldn't get it to work right.
I made a policy route:

Route Type: Gateway route
Source Interface: Internal
Source Network: Internal (Network)
Service: POP3
Destination Network: Any
Gateway: Internal IP of HQ ASG

When I try to fetch mail via POP, I can see in the Packet Filter Log, that the request for Port 110 are still to the IP of the provider and are dropped.

What is wrong?

Bob,

it really was only the key lenght, that is changed.

I tried many variation for configuration, but only changed one parameter at a time. I had already tried AES-256 without PFS, but that didn't help. Then I changed MTU and certs and so on.

Now it's running stable for more then 15 hours and I had to tweak some more things, to get everything working. (Notification, Up-2-Date, ACC etc.).

Perhaps I'll try some other policies out of curiosity the other day, but in the moment i'm happy, that I can keep my costumer satisfied with a working solution.
(I think AES-128 is not too unsecure to live with it).

Quick question for you now that you are routing all your traffic through the VPN for your remote site successfully.  I am assuming you lost lost your ability  to remotely admin the box through the remote office's external IP address, is that correct?

So now when you need to access the webadmin you need to use the internal addressing for the remote astaro firewall? I am assuming this is normal now that all traffic is being routed.

That's what I am seeing on my end anyways.

Thanks,
-Scott

ScottL,

thank you for pointing me to an aspect, I haven't seen before.

I established a second site-to-site-tunnel of the branch office to my home box and this is working.

As far as I see it now, for real road warrior administration, I have to go through main offices gateway. But what if this tunnel fails?

Create a DynDNS account and a host definition on your ASG.  Add this host to allowed networks for Admin and ssh.  When you need to access from somewhere else and not via the VPN, discover your public IP, change the DynDNS entry and login to the ASG.

For added security, you could leave the DynDNS account pointing to the primary External IP on your ASG; remember to reset the DynDNS entry when you finish.

Cheers - Bob

This has been working great for me for awhile now (all traffic from remote branch through site to site vpn to HQ)...but last night I applied 7.400 and 7.401 and now it appears that the VPN routing has changed (not taking precedence anymore).  The updates appeared to be applied ok and the firewall came back up, as did the VPN tunnel....but traffic is not routing through the tunnel anymore; anyone else see this?

Before the update with the vpn set up on the remote site so that HQ had 'Any'.  When this was set up I could not manage the FW from external so I had to manage it through the VPN from HQ side.  After the update of course I cannot reach the FW from the HQ side, but the external access works again.  To me it seems that the VPN routing has stopped working?

On the HQ side I have not updated yet so it is still 7.306.  I am hesitant to update it as I don't want to restore two firewalls from backup.  Any thoughts?

You might check this thread: https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/53075

Thanks, but in my case i've lost all routing between the site to site vpn (IPSec) and cannot even ping by IP address.  Unless I missed something in that thread then I am still trying to figure out what has happened.

Can anyone tell me where to find the VPN routing area as opposed to the general routing area?  Somewhere in the beginning of this thread was a post on the VPN routing being different, and/or taking precedence over the general routing.  I'm not sure where to find that out.

thanks!!

If you made no changes to the configuration other than applying the Up2Dates, I think I'd submit a support ticket if that happened to us.

In the mean time, how about a pic of the Site-to-Site tunnel status and a peak of what happens in the log when you toggle the tunnel back on after toggling it off.

Cheers - Bob

Thanks Bob, we have restored our previous config until we can get a better idea of what happened.  We are questioning our hardware at this point, or possibly just do a fresh install from the 7.401 iso which sometimes does the trick.  We had users coming soon so we took the easy backout approach.  If I identify anything useful as we move forward I'll post it for future astaro board searches.  thanks!!

Thanks Bob, we have restored our previous config until we can get a better idea of what happened.  We are questioning our hardware at this point, or possibly just do a fresh install from the 7.401 iso which sometimes does the trick.  We had users coming soon so we took the easy backout approach.  If I identify anything useful as we move forward I'll post it for future astaro board searches.  thanks!!

I came across this post as I'm trying to accomplish the same thing. As this is a new installation I started out with 7.402 and I get the same results. Post a solution if you find one.

thanx

Thanks Bob, we have restored our previous config until we can get a better idea of what happened.  We are questioning our hardware at this point, or possibly just do a fresh install from the 7.401 iso which sometimes does the trick.  We had users coming soon so we took the easy backout approach.  If I identify anything useful as we move forward I'll post it for future astaro board searches.  thanks!!

I came across this post as I'm trying to accomplish the same thing. As this is a new installation I started out with 7.402 and I get the same results. Post a solution if you find one.

thanx