Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 5533 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL or Ipsec Site to site (one nic)

Dave Packham
i am trying to setup a site to site VPN from my house to work to get the work networks visible via VPN.  i have a UTM 9 install on both sides and the SSL vpn setup.

I have at work a small /29 (a.a.179.8/29) network static routed to my work astaro UTM ip interface.  (this work firewall only has ONE nic because its only got one IP address (a.a.101.145) on my work sub-net.

at home I have another UTM that nats my house (10.1.1.1/24) network to my public ISP address (b.b.76.55/32).  this server has TWO nics and works perfectly.

what I would like to do is have some (a.a.179.8/29) hosts inside my house network that can access the work subnets via the VPN.  (ex: a.a.179.9 or a.a.179.10) 

i know the installer said I needed two nics for the work UTM.  but how would I hook that up at work with only 1 Ethernet port?  it has access to the work subnets due to its default routes.

ideas?

Thanks


This thread was automatically locked due to age.
  • 0
    Hi, I don't think that can work, because the machines on the /29 will all think they're local to each other, so they won't try to route through the gateway (the local Astaro).

    However, since your system at work only has 1 NIC, I'm guessing it's not a gateway anyways, in which case you could add static routes to the machines at work to tell them to route traffic to the 10.1.1.1/24 home network through the local Astaro.

    Barry
  • 0
    You can do this with IPsec or SSL.  With IPsec, since the gateway at work is behind a NAT, you'll need to setup the Remote Gateway at home using the internal IP of the work interface as the 'VPN ID' after choosing authentication that lets you have a 'VPN ID Type' of "VPN Address."

    With SSL, it's less complicated.  You configure the server at home, load the client in the unit at work and you're off!  If you're not already using SSL Remote Access, go ahead and change the protocol to UDP before you create this, and the tunnel will be zippier.

    Cheers - Bob
    PS Having said that, I'd be a little nervous about having the home network VPN'd to the work network.  If you just want to be able to reach the other networks at the office via the Astaro there, you can do that via Remote Access.  Then you wouldn't have to do all that routing that Barry described, just masq the VPN Pool out the single interface.
  • 0 in reply to BAlfson
    Maybe this will help clean up my message
  • 0
    Thanks, I usually work better with great pictures like that.  It confirms what I was imagining.

    My point was that you could configure a simple port-forward on the default work router to your work UTM, say UDP port 1443, configure SSL VPN Remote Access in the work UTM with UDP port 1443, download the configuration into your laptop and you're done.  That way, no one else can copy your laptop's IP when you're gone or the laptop's off and access the work network.

    Cheers - Bob
  • 0 in reply to BAlfson
    ok I see that.  just a client VPN to work UTM.  will that client VPN allow only the work subnets going over the vpn and all else over the ISP?  like printing to my house IP printer?  I was thinking something like policy based routing sending all the work traffic over the VPN and everything else just out the ISP.  could I do that for all the PC's in my house?  anything on the 10. net that wants to hit a work IP go vpn if not go ISP?  

    I own all the PC's in the house so no(small) worries about takeover.  its a university net anyways its all open to the world as is [:)]
  • 0
    work subnets going over the vpn and all else over the ISP? like printing to my house IP printer?

    Configure SSL 'Remote Access' in the work UTM with only your work subnets in 'Local networks' and no other routing is required.  Easy peasy. [;)]

    Cheers - Bob
  • 0 in reply to BAlfson
    ok done.  clients installed and I see it putting in the static routes.  when I try to get to a site at work on a different subnet at work like that BIG cray in my picture on the it dies.  can the Work UTM forward IP traffic to ANY network that is listed as a local network in its config?

    traceroute gets to the 10. net address the ssl vpn gave me then all stars after that one.

    almost  [:)]
  • 0
    Anything that the UTM is allowed to reach can be reached via VPN.  Do you have a masq rule like 'VPN Pool (SSL) -> Internal'?

    Cheers - Bob
  • 0 in reply to BAlfson
    Nope.  no MASQ rule adding that now...
  • 0
    That worked  [:)]

    Thanks.  

    so just out of curiosity and learning sake...  can I do this with SSL/IPsec site to site and policy based routing?