Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 8033 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DHCP Relay over Site-to-site SSL VPN

schiggi
Hi,

we want to configure the ASG to act as a DHCP Relay Server.

About the Configuration, we have a Server Network (where is the DHCP Server) on a remote location connected via Site-to-site SSL VPN to the local ASG. The local ASG has a additional network (DHCP-Net) configured on a separate interface (not the normal LAN interface) on which the DHCP clients are.

I have configured the DHCP Relay Server to forward request between the DHCP-Net and the WAN Interface, but until now i get no DHCP offer. On the DHCP Log on the ASG i don't see any request or are the relay request logged somewhere else?

If i configure the client on the DHCP-Net with an IP Address of the Network, i can Ping the DHCP server, also the DHCP server serves for many other locations without Problems.

Does anyone know's a solution for this, I'm relatively new to this stuff so I'm out of idea's.


This thread was automatically locked due to age.
  • 0
    I can't "see" your situation.  Perhaps you could show a picture of your 'DHCP relay configuration'?

    About the Configuration, we have a Server Network (where is the DHCP Server) on a remote location connected via Site-to-site SSL VPN to the local ASG. The local ASG has a additional network (DHCP-Net) configured on a separate interface (not the normal LAN interface) on which the DHCP clients are.

    Perhaps you could make a diagram?  I'm confused about which DHCP server is where and which clients should use which one.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hello Bob

    I made a short diagram of the Deployment, hope to help clear things up.

    thanks and best regards
    Roman
  • 0
    I'm thinking that the request may be getting blocked after working through the VPN tunnel on the Datacenter Astaro.

    Do you see anything in the packetfilter or IPS logs on the Datacenter Astaro?  It would be broadcast UDP packets.
  • 0
    Thanks - I'm a bit less confused. [:)]

    I'm pretty certain you can't get DHCP traffic through the tunnel in V7.  I believe that you can do this with an IPsec site-to-site VPN in V8.  If you Up2Date to V8.103, I think using ext2 in the relay definition will achieve the result you want.

    See Elmar Hagg's comment four moths ago. Gert also comments on RED in that topic.

    Cheers - Bob
  • 0 in reply to BAlfson
    @Scott_Klassen:
    Sorry i don't see any DHCP traffic blocked on the Datacenter, I think the traffic does not even get there.

    @Bob: I change the VPN from SSL to IPSec but the Branch Astaro cannot be updated to V8 (only 0,5 GB RAM). So I'm stuck with V7.

    Cheers Roman
  • 0
    You may be stuck due to the Branch Office box. 

    To confirm, especially if this setup is a business necessity, I'd utilize my support contract to get further information.  If you have Standard support, you can contact your reseller to discuss the issue.  If necessary, they can contact Astaro support on your behalf for ideas and possible workarounds.  If you have Premium support, you can contact Astaro support directly.  Astaro Support Hotline.  

    Either way, you should take the opportunity to discuss with your reseller options for upgrading the Branch Astaro to a newer hardware revision that supports more memory (there are a lot of improvements and new features that you're missing out on currently and more coming soon with 8.200 in the next month and 8.300 in late Q4-11/early Q1-12).
  • 0 in reply to Scott_Klassen
    I configure my Monowall as a separate DHCP Relay Server and now everything works perfect. I will check with Astaro Support to get the DHCP Relay working on the ASG.

    Thanks and best regards
    Roman
  • 0
    Glad to hear that you've got a workaround in place.  [:)]
  • 0 in reply to BAlfson
    Thanks - I'm a bit less confused. [:)]

    I'm pretty certain you can't get DHCP traffic through the tunnel in V7.  I believe that you can do this with an IPsec site-to-site VPN in V8.  If you Up2Date to V8.103, I think using ext2 in the relay definition will achieve the result you want.

    See Elmar Hagg's comment four moths ago. Gert also comments on RED in that topic.

    Cheers - Bob


    Hi,

    I'm running both ASG 425 for the Site-toSite but DHCP relay didn't work. Can somebody help me how to do it..here is my setup.


    client-->ASG(RemoteOffice)===S2S===ASG(CentralOffice)-->DHCP server

    I already enabled ASG(RO) dhcp relay and add the IP of dhcp server as well the LAN interface but client can't acquire ip address from the dhcp server.

    Thanks
  • 0 in reply to Nher
    I can verify what scott wrote. 

    we run dhcp relay over site2site vpn and had to add the wan interface to the interfaces in dhcp relay configuration. it does works with the dhcp server on the other side of the site2site vpn.

    for the records, we run 8.307.