Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 2214 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Complicated VPN

MarcelVN
Hello.

I am trying to make a very complicated VPN connection. I will try to explain as best possible.

CompanyA (from here on CA) need a VPN connection to CompanyB (from here on CB).

CA already have VPN to link several different locations together. 2 of these locations needs to be able to use the VPN connection to CB.
Info about locations:
Location 1: has RED10 appliance.
Location 2: has ASG120 appliance.
Both these have a VPN connection to Location 3 which is also a ASG120 appliance.

From Location 3 there is a VPN to CB. Tunnel is up.
CB have 3 internal networks which CA needs to be able to interact with. When they do contact the internal networks of CB, they need to come from 1 specific network, which differs from their normal internal networks. This is made with SNAT on Location 3.

At Location 2 there are static routes, that routes every package going to one of CBs internal networks, through the ASG120 at Location 3.
Location 1 has no possible way to configure this, so I am thinking they might need an ASG there aswell.

I can not make this function. Can anyone tell me if they spot something here that is completely wrong.

Best Regards
Marcel Jensen
VestNet


This thread was automatically locked due to age.
  • 0
    Hi, Marcel, and welcome to the User BB!

    The RED10 configuration change, if any, is in the Appliance to which it's connected.  If it already has a full tunnel, then there's nothing needed.  Otherwise, just add the subnet from CB that you want to grant access.  To which ASG120 is the RED10 connected?

    No static routes should be necessary - in fact, I don't think you can use static routes to achieve this.  Please [Go Advanced] below and show pictures of your IPsec Connection and Remote Gateway from each ASG120.  Also, a pic of the RED10 configuration.

    Cheers - Bob
    PS Also, please confirm that all of your Network/Host definitions have 'Interface: >' - that none is bound to a specific interface.
  • 0
    Thank you for your answer, Bob.

    The RED10 has a connection to the before mentioned ASG120 at Location 3.

    Site-to-site VPN connections at Location 3:
    http://mje.vweb.dk/astaro/sitevpnl3.jpg
    The top one is the connection which I am trying to make work(connection to CB), the bottom one is the connection to Location 2.

    Site-to-site VPN Location 2:
    http://mje.vweb.dk/astaro/sitevpnl2.jpg

    There is no special config to RED10 other than an internal network of 192.168.20.0/24 which also need to use the VPN to CB.

    All except 'External (WAN)' (which is bound to 'External (WAN)' interface) definitions are bound to 'Interface: >'.
  • 0
    I seem to have solved most of the problem.
    I found a guide here:
    https://support.astaro.com/support/index.php/NAT_Over_VPN

    Deleted everything regarding this VPN and started over following this guide.
    Location 1 (the one with the RED box) and Location 3 (the one that initiates the VPN connection) is now connected to CB. 
    Location 2 (which also has an ASG120) is still missing. Could have something to do with packet fílter rules, this I have yet to try out.
  • 0
    Normally, people don't need to use that technique, and all "routing" is done automatically when the setup is done in a straightforward manner by just using the right configurations for the IPsec Connections and Remote Gateways.

    In any case, your information above indicated that the RED has 192.168.20.0/24, and I bet you meant 192.168.10.0/24.

    It seems to me that the link you provided in Post #3 is for an opposite scenario, and that, once your VPN between L2 and L3 is correctly configured, you'll only need NAT rules like {192.168.10.0/24} -> Any -> {195.50.36.0/19} : SNAT from {172.23.87.171}

    Please let us know your ultimate configuration.

    Cheers - Bob
  • 0 in reply to BAlfson
    Yes the example i gave in post #3 was for a slightly different scenario, as it is concentrating on only having 1 location needing to connect.

    The VPN between L2 and L3 has always been working, this I have not changed. I have only created a VPN for Company B, and NAT rules as described in my last post. This worked for the connection between L1+L3 and Company B. L2 still has no connection to Company B, even though it is configured exactly the same as L1.
    If it wasnt clear earlier, the VPN to Company B is only configured at L3, which gathers the 2 other locations.
    The only difference between L1 and L2, is that L2 has a ASG120 instead of a RED10.

    I hope that clears up a bit.
  • 0
    You said that you made changes, please [Go Advanced] and show a picture of the IPsec Connection definition for the KMD VPN.

    Assuming that you haven't changed the L2-L3 VPN, just add the 195.50 subnets to 'Local networks' in L3 and to 'Remote networks' in L2.

    Is it working yet?

    Cheers -  Bob
  • 0 in reply to BAlfson
    I see your point in adding these networks, and I will try it when i can.

    Just one question: how does it function between the RED10 at L1 and the ASG120 at L3, does the ASG120 automatically tell the RED10 that the 195 networks are local networks?

    I hope you understand the question, having a hard time really explaining it.
  • 0
    As for the connections to other locations and to the 195 networks, think of the RED10 connection as a (virtual) local interface on the Astaro at L3 - just like the L3 network, the L1 network connects to the 195 networks via a SNAT.

    If you want L1 and L2 to "see" each other, just add {192.168.10.0/24} to 'Local networks' in L3 and to 'Remote networks' in L2 for the aof-roedsvej VPN.

    Cheers - Bob