Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 2492 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL Site to Site plus Remote Access

wieds
I have ASG 220 at our home office (Chicago) and ASG 120 at a remote site (Minneapolis).

The SSL Site to Site tunnel works fine, I can ping across networks from both sides.  Then I set up SSL VPN Remote Access for the Minneapolis office employees and that works fine as well, when I access the Minneapolis office from this VPN I can see everything on both networks, DNS works, and I can ping both gateways.

So then the last step was to setup remote access SSL VPN for the employees in the Chicago office, and for the most part it works fine, except when I'm accessing the Chicago office from the VPN I can not see the 120 in Minneapolis, meaning I can not ping it.  

This last little piece is the last hurdle I have. Ping is on for both devices, so that's not it, plus I can ping both devices when going over the Minneapolis office SSL VPN.

Is there a simple rule I've missed?


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    Thanks Bob.

    So that article was helpful however, I'm using Site to Site SSL VPN, not IPSec.

    One thing that I need to verify is if I need to setup a different SSL VPN Pool address for the remote network. The article wasn't clear here and mentions "VPN Pool (SSL) at Site1", however if that's the same address as the built in VPN Pool (SSL), which is 10.242.2.0/24, then I wasn't sure if I needed to make that a separate pool like 10.242.3.0/24 at the remote site.

    Right now on the Server end of the SSL Site to Site, for local networks I have Internal and VPN Pool (SSL), and for remote networks I have the Remote Network LAN and VPN Pool (SSL) again.

    The only thing that isn't working is access to the remote network when SSL VPNed into the home office. I can see the home office fine when VPNed into the remote office.

    Thanks again.
  • 0
    I made that example for IPsec so that it would be clearer what was Remote Access and what was Site-to-Site, but the same thing is true for SSL Site-to-Site.

    In the site you dial-in to, Site A, the local networks of the other site,Site B, must be listed in local networks, and, in Site B, a network definition equal to "VPN Pool (SSL)" of Site A must be allowed to access the networks local to Site B.

    Of course, that cannot be the same as "VPN Pool (SSL)" at Site B.  You cannot have the same subnet of 10.242.2.0/24 on both ends of the Site-to-Site VPN.  Since 10.242.3.0/24 is the default subnet for "VPN Pool (L2TP)" in Astaro, you're probably better off using something like 10.242.21.0/24.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks Bob. Indeed that was the trick.

    Full tunnel plus remote access on both ends working properly.

    Thanks again.