Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 54329 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Remote Access other Site to Site networks

PG10
I have an ASG installation with IPSec connections to two remote networks using Cisco RVS4000 VPN routers. Right now, if I am at the main location with the ASG, I can access everything. If I am at either of the two other locations I can only access the local network and the ASG's network and not the other remote network. Same goes with remote access SSL VPN. I can access the main network, but not either of the IPSec Site to Site networks. I have packet filter rules in place that would allow for the connection to go through. I also have "Any" for allowed networks in the SSL VPN config. Not sure what I'm doing wrong and I can't seem to find any guides that address this setup. Any advice would be greatly appreciated!

Thanks!

-Phil


This thread was automatically locked due to age.
Parents
  • 0
    coewar- I got everything working with the SNAT rules, including leaving the service blank. Thanks for that!

    Angelo- I tried to disable the SNAT rules and disable strict routing in the IPSec config (which had previously been on, I had the same thought as coewar). It did not work. Is there anything else that needs to be set up for this method to work? I have firewall rules in place to allow VPN Pool (L2TP) -> Any -> Any and the same for VPN Pool (SSL).

    Thanks!

    -Phil
Reply
  • 0
    coewar- I got everything working with the SNAT rules, including leaving the service blank. Thanks for that!

    Angelo- I tried to disable the SNAT rules and disable strict routing in the IPSec config (which had previously been on, I had the same thought as coewar). It did not work. Is there anything else that needs to be set up for this method to work? I have firewall rules in place to allow VPN Pool (L2TP) -> Any -> Any and the same for VPN Pool (SSL).

    Thanks!

    -Phil
Children
  • 0 in reply to PG10
    oh yeah that's right. The default is actually No strict routing. And below is the help of what it means. It actually merely prevents you from creating a SNAT rule to do what we are doing. So the question remains, without SNAT, how would it work?


    Strict Routing: If strict routing is enabled, VPN routing is done according to source and destination IP address (instead of only destination IP address). In this case, only those packets exactly matching the VPN tunnel definition are routed into the VPN tunnel. As a consequence, you cannot use SNATto add networks or hosts to the VPN tunnel, that are originally not part of the tunnel definition. On the other hand, without strict routing, you cannot have a mixed unencrypted/encrypted setup to the same network from different source addresses