Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 1516 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help a confused server guy :)

tuscani
Hey all.. great community.. so yeah.. as the title says I am a server guy that has recently inherited our network related tasks.. We currently run a 220 and we are trying to setup connectivity to a partner that will allow us to P2V their on-site server to our datacenter. They have an Astaro 120 (which I have admin access to). I am a bit lost as too where I need to start. We already have several connections setup to other companies some of which appear to be site-to-site VPNs and some are not which confused me even more.. lol. Can I get some direction? Thanks!


This thread was automatically locked due to age.
  • 0
    Hi, tuscani, and welcome to the User BB!

    P2V?  I don't know, but I suspect that it uses several ports, so a Site-to-Site VPN likely is the right answer.  For the following, both Astaros must have a current Network Security subscription.

    The IPsec VPN is faster but more difficult to configure than SSL.  In this case, you only need a temporary connection, so you can simplify the IPsec configuration by using a Pre-Shared Key - just remember to disable on both sides when you're not using it.

    Sophos doesn't have the right article from Astaro up in their KnowledgeBase yet, but you can use How to create an X509 key based Site-to-Site VPN and just skip all of the certificate configuration.  The PSK configuration is straightforward.

    Use the AES 128 policy because it's the fastest, and, since this is only temporary, you don't need the added security of PFS.

    If you only need access to a single server on the other end, add only a Host definition for the server to 'Remote Networks' in the 'Remote Gateway' definiton in the 220.  In the 120, only include the server's Host definiton in 'Local Networks' in the 'IPsec Connection'.

    Cheers  - Bob
  • 0
    Thanks for the reply.. I ended up just installing the SSL VPN (the same way an end user would to connect to our network) on the partners server.. while it works, it is PAINFULLY slow. So I think a perm site-to-site VPN is the way to go. I say perm because we will be hosting their server and routing their internet access through us.

    PS.. their local subnet is the same as ours so I assume I will also need to setup masquerading?
  • 0
    I say perm because we will be hosting their server and routing their internet access through us.

    Then the linked article is the right one for you.  Use the AES 128 PFS policy with an X509 cert.

    their local subnet is the same as ours so I assume I will also need to setup masquerading?

    If you are in this business and you use any 192.168.x.y subnets, I urge you to push the owner to let you change that.  It's more work up front, but less work overall.  Normally, we recommend leaving 192.168 subnets for home users and public hotspots.   For small and medium business, use subnets in 172.16.0.0/12, and the largest businesses need subnets in the 10.0.0.0/8 range.  In your business, 10. subnets aren't unreasonable, but you should check with your ISP to see what they're using in their connection to you.

    In any case, you'll need this for now: How to tunnel between two ASGs having the same LAN network range. (It's not time to move to V9 yet, but there's a new type of NAT possible with it that allows mapping an entire network, and thus will simplify this in the future.)

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob, you are my hero! Thanks so much and will let you know how it goes.
  • 0
    Ok I am making progress. The tunnel is up following the directions Bob posted for tunneling two AGS with the same subnet. However, I have not setup any NAT rules just yet. 

    Again, my goal here is to P2V a server on ASG_B from ASG_A and make sure users in B can access the new virtual server in A. I have the "fake" networks setup as 192.168.15x on A and 192.168.20.x on B. 

    Do I still need new VLAN\interface in A for the 192.168.15.x? I'd prefer that as many of our other hosted customers have their own VLAN.
  • 0
    I'm not sure I understand the question.  If it's whether you should create an actual Interface definition, the answer is no.

    Cheers - Bob
  • 0 in reply to BAlfson
    I'm not sure I understand the question.  If it's whether you should create an actual Interface definition, the answer is no.

    Cheers - Bob


    But if I don't won't the P2V'd server end up residing on our 192.168.0.x??
  • 0
    Getting close.. I can ping 192.168.15.22 from behind ASG_B, but I cannot ping 192.168.20.210 from behind ASG_A. Current NAT settings below.
     
     
    192.168.0.22 behind ASG_A
    192.168.0.210 behind ASG_B
     
    192.168.15.x fake network on ASG_A
    192.168.20.x fake network on ASG_B
     
    ASG_A DNAT:
    Traffic Source – 192.168.20.x
    Traffic Service – ANY
    Traffic Destination – 192.168.15.22
    Destination – 192.168.0.22
     
    ASG_A SNAT:
    Traffic Source – 192.168.0.22
    Traffic Service – ANY
    Traffic Destination – 192.168.20.x
    Source – 192.168.15.22
     
     
    ASG_B DNAT:
    Traffic Source – 192.168.15.x
    Traffic Service – ANY
    Traffic Destination – 192.168.20.210
    Destination – 192.168.0.210
     
    ASG_B SNAT:
    Traffic Source – 192.168.0.210
    Traffic Service – ANY
    Traffic Destination – 192.168.15.x
    Source – 192.168.20.210