Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 54329 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Remote Access other Site to Site networks

PG10
I have an ASG installation with IPSec connections to two remote networks using Cisco RVS4000 VPN routers. Right now, if I am at the main location with the ASG, I can access everything. If I am at either of the two other locations I can only access the local network and the ASG's network and not the other remote network. Same goes with remote access SSL VPN. I can access the main network, but not either of the IPSec Site to Site networks. I have packet filter rules in place that would allow for the connection to go through. I also have "Any" for allowed networks in the SSL VPN config. Not sure what I'm doing wrong and I can't seem to find any guides that address this setup. Any advice would be greatly appreciated!

Thanks!

-Phil


This thread was automatically locked due to age.
Parents
  • 0
    Hi. I have tested that exact scenario I believe and got it to work. Maybe you are missing that you have to SNAT the traffic from your remote access clients to have their source IP's changed to be something from the network that is allowed in. You could just pick the local IP of the router itself.

    Let me explain my test scenario so you can decide if it matched yours.

    ASG IPsec VPN with another router (2 instances, 1 was my own Amazon Linux and the other a Cisco router).
    ASG itself able to access protected private LAN on remote side.
    Windows server 1 "behind the ASG" was also automatically able to access those protected networks too. (very cool)

    SSL VPN client to the ASG able to access ASG private network. (naturally)
    Added the remote private network into the SSL VPN "Local Network" list. This results in the SSL VPN client PC's routing to get updated which you can see via "route print" in Windows.
    Then had to add SNAT rule to make SSL VPN client traffic look like it was coming from the ASG.
    SSL VPN client was able to access the protected remote networks in that Amazon Linux instance and also the Cisco router's network.

    Since the remote IPSec VPN's had the ASG's private network configured, SSL VPN clients IP addresses are not allowed. So you have to do the SNAT.
Reply
  • 0
    Hi. I have tested that exact scenario I believe and got it to work. Maybe you are missing that you have to SNAT the traffic from your remote access clients to have their source IP's changed to be something from the network that is allowed in. You could just pick the local IP of the router itself.

    Let me explain my test scenario so you can decide if it matched yours.

    ASG IPsec VPN with another router (2 instances, 1 was my own Amazon Linux and the other a Cisco router).
    ASG itself able to access protected private LAN on remote side.
    Windows server 1 "behind the ASG" was also automatically able to access those protected networks too. (very cool)

    SSL VPN client to the ASG able to access ASG private network. (naturally)
    Added the remote private network into the SSL VPN "Local Network" list. This results in the SSL VPN client PC's routing to get updated which you can see via "route print" in Windows.
    Then had to add SNAT rule to make SSL VPN client traffic look like it was coming from the ASG.
    SSL VPN client was able to access the protected remote networks in that Amazon Linux instance and also the Cisco router's network.

    Since the remote IPSec VPN's had the ASG's private network configured, SSL VPN clients IP addresses are not allowed. So you have to do the SNAT.
Children
No Data