Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 1 subscriber
  • Views 17024 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL Site-2-Site Branch Office with Main Office as Gateway

SauRoN
Good morning everyone.

Been struggling with this configuration for the past two days and I'm now at the point where I'm convinced it simply cannot be done and thus my question here to make absolutely sure that is the case.

Basically I want to setup an SSL VPN from a branch office to a head office.

Now this I've already got working 100% with the two Internal networks working together without any problem.

However now I want to do two additional things.

1. I want the branch office to gateway through the main office, so basically get internet connectivity through the VPN instead of directly from it's own default gateway connection.

2. If I can get the above to work, I want to look at potentially using the Head Office Astaro as the proxy for the branch office and control all black/whitelisting from one location instead of two.


So basically is it possible to setup one Astaro as a full SSL VPN Client of another?


This thread was automatically locked due to age.
  • 0
    VPNs aren't practical if you can't control the remote subnet assignments.  In V9 (should be released in mid-July), you can select the NAT type '1-to-1'.  I think you would need a rule for Source and one for Destination.  Also, I expect you'll need to add the new source and destination networks to the tunnel.

    Your other problem is that SSL VPNs are resource hogs, and 35 is the most you can do on a 220.

    You probably can build custom reports in 'Network Usage'.

    Cheers - Bob
  • 0
    Thanks Bob.

    I've been testing this entire setup on V9 because by the time of a real implementation that will be the current version available.

    The SSL VPN resource hog thing I didn't know of and it's a bit worrying. My intention with this was to make it as simple as possible to send out a "plug & play" unit to a branch and say just connect it and off you go. Is there documentation somewhere that specifies how many SSL VPN's you can run on each device type? Upgrading or building a software version wouldn't be a problem if required.

    Will have a look at the 1:1 NAT. How would I go about that though? Make the source VPN Pool (or Static IP for VPN) and the Destination?

    I can control the remote subnet assignments fortunately (might be a bit of a fight with some people) was just hoping for that not to be necessary.
  • 0
    How to tunnel between two ASGs having the same LAN network range, the article that Scott linked to above, explains the approach with a few addresses, but the technique should be the same.

    This approach still requires a set of two rules in the head office for each remote site and two in each remote site.  You can see that the best approach would be to have a plan for remote subnet numbering so that NATting can be avoided altogether.  

    Your reseller should be able to recommend an upgrade or software solution depending on the number of tunnels you need and the number of IPs behind the head office device.

    Cheers - Bob
  • 0
    Yeah I figure planning the Subnets is going to be a whole lot better than trying to mask them with the fake ones.

    Will chat to our distributor about the need for upgrading.

    Would IPSec connections be easier on resources? How many of those does the 220 handle?
  • 0
    Yes, IPsec is much faster, and you should be able to have 125 tunnels active with it.  L2TP over IPsec is built into Windows, so that's your best bet for Remote Access connections.

    In fact, there's IPsec code on the new Intel i7 processsors, and V9 software will use that.  I haven't seen it, but it should give IPsec VPNs enough of a boost that the load will be virtually invisible.

    Cheers - Bob