SSL Site-2-Site Branch Office with Main Office as Gateway

Hi, SauRoN, and welcome to the User BB!

It sounds like you have Network Security and Web Security subscriptions in the Head office and Network Security only in the Branch office.  In that case, computers in the Branch office can use the Web Proxy in the Head office.

A simple solution would be, in the Head office device, adding "Internet" to 'Local networks' in the SSL Connection definition and adding the subnet of the Branch to 'Allowed networks' in Web Filtering.  Of course, you'll need to reload the new SSL VPN configuration in the Branch office Astaro.

You'll probably want to make adjustments to DNS and DHCP configurations.

Cheers - Bob

Well at present I'm running this in a test environment with my Home Edition Astaro from home and then our ASG220 in the office.

I've switched off Web Filtering for the time being to get the basics working first.

I'm pretty sure I tried with "Internet" in the allowed networks yesterday and that didn't solve anything, but then again I'm not exactly sure if I reloaded the configuration at the "Branch" because it didn't seem necessary to do that.

My problem is mostly that when I traceroute from the "Branch" my internet is still getting passed through locally, not via the VPN tunnel.

You say make changes to DNS & DHCP? I'm guessing you don't mean for me to run DHCP over the VPN, but to rather change the default gateway to point to the "Head Office"?

From a security point of view wouldn't a user then simply change the gateway manually to the local Astaro and get out through the internet like that? (Although I can block that of course).

If that is what you mean, wouldn't a Static or Policy Route make more sense?

Is there a Masquerading requirement for the internet to pass through from my Branch? I'm guessing I would need to add the Masquerading on the "Head Office" for the VPN Pool range?

And then I shouldn't need any Masquerading at all on my branch office right?

Hi SauRon,

Before we get into web filtering let's work on the VPN tunnel first. Note: I usually work with IPSEC tunnels moreso then SSL so if I may miss a step or two.

For SSL, on the config screen on your 220 (the server), you'll want to add the "Any" network to your list of local networks. You'll then need to upload the new config file to your home install (the client).

After that you'll need to setup Masquerading rules to allow the remote branch out onto the Internet. Then run a traceroute to a known working public IP (Google's 4.2.2.1 works usually) and see if things run properly.

Hi Drew I just managed to get it working before reading your post.

Seems my mistake was Masquerading the VPN Pool on the Server side, instead of the Local Network from the Client side.

All is working now for point 1 and I'll play around with it before attempting to get the Proxy in the middle as I'm sure that's not too difficult.

Any idea what the compression ratio is for SSL VPN? More or less is fine.

And is it worth it for the latency knock?

Regardless of the vendor, compression ratio figures are more marketing than reality, because it depends on the nature of the payloads being sent.  For example, if you are sending lots of already compressed data, like zips, it won't help much.  As well, if you're doing lots of media streaming across the tunnel, compression may do more harm than good.  Your best bet is to try compression on in your environment and see how it goes.  If it's causing issues, turn it off.

Seems my mistake was Masquerading the VPN Pool on the Server side, instead of the Local Network from the Client side.

I'm not sure what you mean by that.  The only masq rule you should need to add is '{Branch network} -> External' in the head office ASG 220.  Whatever masq rule you have in the Branch Astaro just won't ever get used

If you have another masq rule in the 220 like '{Branch network} -> Internal' to allow the devices in the Branch to reach devices in the head office network, then you have one or more Host/Network definitions misconfigured in the 220.  All definitions should have 'Interface: >' instead of being bound to a specific interface.

Cheers - Bob

Bob I meant it exactly the way you've said it.

Local Network - Client Side meaning "Local Network - Branch side"



However now I have a new problem...when going for multiple branches.


If I have two branches with SSL VPN's and both have the same subnet there is a problem with the routes going haywire...as expected.

Problem is that this entire exercise is for reporting on Data usage, so I don't even really need to have the client side IP's visible (since I could get that directly from the client Astaro).

So...

Is there a way that I can masquarade or NAT the entire client side network behind one IP-address (presumably the VPN Pool address) so that I can get a total usage report from that single IP address?

I understand that I might not get Application usage information then (it would be a bonus), but total usage from Client Astaro would be more beneficial for billing purposes.

Article - Knowledgebase - Support - Sophos

That answers half of my question only though, as I still won't have total traffic reflecting for one single IP will I?

I could also become quite messy with say 50 odd branches or even more added?


Or is there something on the Reporting side that would allow me to get total usage for each and every VPN Tunnel?