Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 7842 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site VPN problem when behind NAT ???

mcse_online
Hi all,

Our company uses Astaro gateways (hardware) at both sites, and we want to connect 2 sites using VPN. Before pushing them into production, we build a lab to test the VPN function of Astaro gateway. The result is that site to site VPN connection fails whenever there is a NAT device in between, whether we use SSL or IPsec VPN (though Astaro gateway supports NAT-Traversal by default). It means that if the Astaro VPN gateway is behind a NAT device (like a NAT modem), then VPN fails; if we remove all NAT device in between then VPN works.

The problem is that our branch office use a NAT modem to connect to Internet via FTTH (fiber to the home). With FTTH, we cannot connect Astaro VPN gateway directly to Internet without going through a modem to avoid problem with NAT. So branch office is behind NAT (while head office is not), and VPN fails.

Branch's LAN ---> Astaro gateway 1 ---> FTTH modem (NAT) ---> Internet 


This thread was automatically locked due to age.
Parents
  • 0
    You should be able to use "Initiate connection" on both sides.  Since you have NAT at the branch, you must choose an 'Authentication type' that allows use of 'VPN ID type: IP address'.  In the Astaro in HQ, in the 'Remote Gateway' definition for the branch, in 'VPN ID (optional)', specify the internal, private IP on the branch Astaro's External interface.

    I don't recommend using a PSK for site-to-site, but here's a KnowledgeBase article with instructions for that.

    Cheers - Bob
Reply
  • 0
    You should be able to use "Initiate connection" on both sides.  Since you have NAT at the branch, you must choose an 'Authentication type' that allows use of 'VPN ID type: IP address'.  In the Astaro in HQ, in the 'Remote Gateway' definition for the branch, in 'VPN ID (optional)', specify the internal, private IP on the branch Astaro's External interface.

    I don't recommend using a PSK for site-to-site, but here's a KnowledgeBase article with instructions for that.

    Cheers - Bob
Children
No Data