Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 5483 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ipsec on additional IP

b.schmidt
Hi,

we have an ASG 8.305 with a External WAN Interface with a primary IP and three additional IPs.
We want some User to connect to one of the additional IPs with a ipsec Client software.
Our problem is that the ipsec connection only work with the primary IP of that interface.
Is there any solution to get ipsec working on an additional IP?

We have three RED devices which successfuly connect to an additional IP.
So is it possible for the Users making a ipsec connection to an additional IP?

Bjoern


This thread was automatically locked due to age.
  • 0
    Same problem here. Is there any way to configure IPsec (IPSec / Connections / Local Interface) to an additional IP of the external WAN-Interface on UTM9?
  • 0
    You could SNAT the IPsec traffic from the Additional Address, but the client would have to be configured to accept the traffic from that IP.  Look in the 'Site-to-Site >> IPsec' section on the 'Remote Gateways' tab to see what would be necessary in the client; you would need a VPN ID type of "IP Address" and VPN ID of the primary address on the interface.  Is that possible?

    By the way, why not just use the primary address?

    Cheers - Bob
  • 0
    The IPsec Client is already configured to that additional IP Address. This is a change from a old cisco FW to UTM 9. There are several Clients, which are connected to the main IP Adress of the WAN Interface UTM 9. And now there are (new one) several IPsec Clients left, which we have to connect to the utm9. Unfortunately they are all configured to a additional Address, not the main one. I just wondering, why other fw-devices can handle ipsec to additional addresses, but utm9 not...

    If i set up SNAT, i have to set up DNAT (IPSEC) too, right?
  • 0
    You only should need SNAT as the inbound traffic only needs to get to the proper interface - the IP it arrives on is not considered.

    Cheers - Bob
  • 0
    @bob

    thanks for your help! I'll try that...
  • 0
    By the way, you'd still need to change the clients as per my comment in Post #3 above.  The easiest would be to have the clients change the IP address they call or you could make the old IP the primary address on the interface.

    In another thrread, you asked about connecting a second interface.  Yes, I think you could put a switch in front of the ASG/UTM and use the IP as the primary address on a second interface with no default gateway.  To avoid routing issues, make sure both interfaces are defined as /32.

    Cheers - Bob