Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 2653 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC VPN thorugh other (NOT default) internet interface.

TrevorFurnell
Hi;
Under pre 7.5 versions I was told that we could NOT setup a ipsec vpn connection unless it went through the default gateway.  Is this still the case, if not.....

We have a site with 3 internet connections, they have several small satellite offices, (all using Astaro's) that use ipsec vpn connections, at present all connections come through their default gateway. (lets call it ADSL-Default-Gateway) 

We would like to move all the vpn connections to the (lets call it) ADSL-3-VPN interface. Which is NOT the default gateway. Can ASG v7.501 route VPN traffic through the 3rd interface.??

So far in my testing it shows the connection is connecting but nothing is going through it..??

Thanks.
Trevor..


This thread was automatically locked due to age.
  • 0
    The solutions available since V5 have't changed although there now are more options.

    Is the central Astaro the VPN endpoint for the main office, or is there a VPN server behind it?  Same question for the remote offices.

    Cheers - Bob
  • 0
    With my setup Astaro is at the main office.  PFSense is at the other end.

    Astaro(wan 0 defaultGateway, LAN)remoteSite(LAN 0)  Established

    Astaro(wan 1 policyRoute, DMZ)remoteSite(LAN 0)  Doesn't work

    It's like Astaro is not applying the transform, with the DMZ tunnel.

    Ping from computer on the Astaro(LAN) side:

    traceroute 192.168.20.10
    traceroute to 192.168.20.10 (192.168.20.10), 30 hops max, 60 byte packets
     1  192.168.0.1 (192.168.0.1)  0.238 ms  0.238 ms  0.210 ms
     2  * * *
     3  192.168.20.10 (192.168.20.10)  21.046 ms  21.057 ms  25.038 ms

    From a computer on the DMZ:

     traceroute 192.168.20.1
    traceroute to 192.168.20.1 (192.168.20.1), 30 hops max, 60 byte packets
     1  172.16.1.1 (172.16.1.1)  0.726 ms  0.727 ms  0.743 ms
     2  x.x.x.129 (x.x.x.129)  1.952 ms  1.983 ms  1.999 ms
     3  xx.xx.x.41 (x.x.x.41)  8.494 ms  8.511 ms  8.543 ms
     4  x.x.x.41 (x.x.x.41)  9.552 ms !H * *

    Thx,
    Sean
  • 0
    In the Astaro, in the VPN Connection, select the wan1 interface and delete the route.

    In the pfSense, configure the IPsec to communicate with the IP of wan1 on the Astaro.

    If either device is behind a NAT, this is more complicated.  You probably will have to make changes in the VPNId and type.  If things don't work with just the first two changes, post pictures of the Astaro's IPsec Connection and Remote Gateway definitions.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thx Bob.

    If I delete that policy route, the servers behind the DMZ will no longer go out over WAN 1. Am I missing something? If the remote gateway definition was no good, then I would not get connectivity via the first IPSec tunnel?

    The IP on the other side was already set to use WAN 1(public IP).

    No NAT, it should be strait forward IMO.

    In Cisco IOS, what you do is set a deny rule so NAT wont "steal it away" and avoid the transform.  I'm not sure if that is the issue or how to properly *deny it from getting natted away.

    Thx
  • 0
    I wish I knew Cisco well enough to "create" in it, but I only know how to read it.  Knowing how Cisco does it will give you a clearer picture of what's happening, but using that knowledge is an impediment to creating an elegant design in WebAdmin.  It's like the difference between working in BASIC and in SQL.

    So, I guess I still don't have a clear picture.  In general, WebAdmin should take care of all that automagically and manual routes should be ineffective.  That's why I asked for pics of the configuration if the "standard" approach doesn't work (probably easier than producing network diagrams, etc. [;)]).

    Cheers - Bob