Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 17032 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL Site-2-Site Branch Office with Main Office as Gateway

SauRoN
Good morning everyone.

Been struggling with this configuration for the past two days and I'm now at the point where I'm convinced it simply cannot be done and thus my question here to make absolutely sure that is the case.

Basically I want to setup an SSL VPN from a branch office to a head office.

Now this I've already got working 100% with the two Internal networks working together without any problem.

However now I want to do two additional things.

1. I want the branch office to gateway through the main office, so basically get internet connectivity through the VPN instead of directly from it's own default gateway connection.

2. If I can get the above to work, I want to look at potentially using the Head Office Astaro as the proxy for the branch office and control all black/whitelisting from one location instead of two.


So basically is it possible to setup one Astaro as a full SSL VPN Client of another?


This thread was automatically locked due to age.
Parents
  • 0
    Well at present I'm running this in a test environment with my Home Edition Astaro from home and then our ASG220 in the office.

    I've switched off Web Filtering for the time being to get the basics working first.

    I'm pretty sure I tried with "Internet" in the allowed networks yesterday and that didn't solve anything, but then again I'm not exactly sure if I reloaded the configuration at the "Branch" because it didn't seem necessary to do that.

    My problem is mostly that when I traceroute from the "Branch" my internet is still getting passed through locally, not via the VPN tunnel.

    You say make changes to DNS & DHCP? I'm guessing you don't mean for me to run DHCP over the VPN, but to rather change the default gateway to point to the "Head Office"?

    From a security point of view wouldn't a user then simply change the gateway manually to the local Astaro and get out through the internet like that? (Although I can block that of course).

    If that is what you mean, wouldn't a Static or Policy Route make more sense?

    Is there a Masquerading requirement for the internet to pass through from my Branch? I'm guessing I would need to add the Masquerading on the "Head Office" for the VPN Pool range?

    And then I shouldn't need any Masquerading at all on my branch office right?
Reply
  • 0
    Well at present I'm running this in a test environment with my Home Edition Astaro from home and then our ASG220 in the office.

    I've switched off Web Filtering for the time being to get the basics working first.

    I'm pretty sure I tried with "Internet" in the allowed networks yesterday and that didn't solve anything, but then again I'm not exactly sure if I reloaded the configuration at the "Branch" because it didn't seem necessary to do that.

    My problem is mostly that when I traceroute from the "Branch" my internet is still getting passed through locally, not via the VPN tunnel.

    You say make changes to DNS & DHCP? I'm guessing you don't mean for me to run DHCP over the VPN, but to rather change the default gateway to point to the "Head Office"?

    From a security point of view wouldn't a user then simply change the gateway manually to the local Astaro and get out through the internet like that? (Although I can block that of course).

    If that is what you mean, wouldn't a Static or Policy Route make more sense?

    Is there a Masquerading requirement for the internet to pass through from my Branch? I'm guessing I would need to add the Masquerading on the "Head Office" for the VPN Pool range?

    And then I shouldn't need any Masquerading at all on my branch office right?
Children
  • 0 in reply to SauRoN
    Hi SauRon,

    Before we get into web filtering let's work on the VPN tunnel first. Note: I usually work with IPSEC tunnels moreso then SSL so if I may miss a step or two.

    For SSL, on the config screen on your 220 (the server), you'll want to add the "Any" network to your list of local networks. You'll then need to upload the new config file to your home install (the client).

    After that you'll need to setup Masquerading rules to allow the remote branch out onto the Internet. Then run a traceroute to a known working public IP (Google's 4.2.2.1 works usually) and see if things run properly.