Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 1 subscriber
  • Views 814 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't access remote httpproxy over site-to-site vpn

wberry
Hi all,

I have new remote site connecting to core location over site to site ipsec connection, auto packet filter, no strict routing. Works great, I think. Both astaros have direct routable public ip on WAN interface.

I also have active directory integrated sso httpproxy deployed via group policy which specifies the proxy address as 10.0.0.1:8080

Specifically:

[Remote network 10.3.0.0/16]  [10.3.0.1 remote astaro 12.3.2.3]  [ipsec internet vpn]  [12.0.2.3 core astaro 10.0.0.1]  [core network 10.0.0.0/16]

Site-to-site VPN IPSec Connection settings:

Core Astaro 220 ver 7.501 settings:

RemoteGW: "Remote"
LocalInterface: WAN
Policy: AES-256
Local Networks: 10.0.0.0/16
Auto packet: checked
String routing: unchecked

Gateway Type: Initiate Connection
Gateway: 12.3.2.3 [Remote WAN public IP]
Auth type: Preshared key
VPN ID Type: IP Address
Remote Networks: 10.3.0.0/16

Remote Astaro 120 ver 7.502 settings:

RemoteGW: "Core"
LocalInterface: WAN
Policy: AES-256
Local Networks: 10.3.0.0/16
Auto packet: checked
String routing: unchecked

Gateway Type: Initiate Connection
Gateway: 12.0.2.3 [Core WAN public IP]
Auth type: Preshared key
VPN ID Type: IP Address
Remote Networks: 10.0.0.0/16


Problem:

Remote site users can't connect to 10.0.0.1:8080, yet they can connect to all other addresses on 10.0 network ok. This means the users at the remote site who have proxy settings pointing to the proxy server at core site can't get internet, since can't connect to proxy server, which is same astaro as where the vpn terminates.

-ICMP is enabled on both astaro units, pings from remote to core work for core external ip, but fail for core internal ip. Pings from core to remote ok for both internal and external ips on remote astaro.

-Added the 10.3.0.0 remote network to the global http/s settings & to the correct proxy profile

-No relevant drops show up on the packetfilter log

The httpproxy itself works fine for all other networks, the issue is the remote vpn users can't see it. This is the only site-to-site group setup

I've come up with a workaround involving active directory group policy, but was hoping someone could point out why the above doesn't work.


This thread was automatically locked due to age.