Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 6484 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site IPSEC VPN with Juniper - Packet Filter

pmcdaniel
We have setup a IPSEC Site to Site VPN between our ASG220 and a Juniper firewall on the remote site.  The only issue is that the automatic packet filter rules don't seem to be working properly.  Currently, the only way we can get all necessary services to work from the Juniper side is to have a packet filter rule enabled to allow Any > Any > Internal Network.  As soon as that rule  is disabled we lose the ability to do anything from the Juniper site other than was is already allowed on the Astaro, such as Ping and HTTPs access to the Astaro.  Services from the Astaro side to the Juniper side, such as RDP still work fine with that rule disabled.

We have also added the following manual Packet Filter rules with no success:
Remote Site LAN > Any > Internal (LAN) Network
Remote Site WAN > Any > Internal (LAN) Network
Remote Site LAN > Any > External (WAN) Address
Remote Site WAN > Any > External (WAN) Address

Obviously, we don't want to leave the current rule (Any > Any > LAN) enabled, so any help would be appreciated.


This thread was automatically locked due to age.
Parents
  • 0
    One thing I just noticed is that I assigned the network definition of the Juniper LAN to the Internal interface on the Astaro. Could that have caused this?
    Do not bind network/host definition objects to interfaces.  In most cases this is not necessary and will break communications.  Leave (or change back) the bindings back to the default >.  The only network definition objects which should be bound to an interface are the default Internet objects.
Reply
  • 0
    One thing I just noticed is that I assigned the network definition of the Juniper LAN to the Internal interface on the Astaro. Could that have caused this?
    Do not bind network/host definition objects to interfaces.  In most cases this is not necessary and will break communications.  Leave (or change back) the bindings back to the default >.  The only network definition objects which should be bound to an interface are the default Internet objects.
Children
  • 0 in reply to Scott_Klassen
    That's interesting...I've always bound network definitions to an interface, but this is the first site-to-site I've set up with an Astaro, so this is the first time it has caused an issue.

    I'll set it to Any and give it a try later this evening when the office is empty again.