Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 2074 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec S2S - Need to route internet traffic out far side of the VPN for one subnet

LewisRosenthal
Hi, all...

Long subject; apologies.

Facts:

ASG v8 on both sides of the connection
IPSec VPN / RSA keys
Multiple internal nets on each side of the VPN

Problem:

Need to route traffic from one internal net on one side of the VPN to the internet out the public IP on the other side of the VPN.

Example:

Side A:

192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
zzz.zzz.zzz.zzz (public IP)

Side B:

10.10.10.0/24
10.10.11.0/24
10.10.12.0/24
yyy.yyy.yyy.yyy (public IP)

I need internet-bound traffic from 192.168.1.0/24 to "originate" from yyy.yyy.yyy.yyy.

I've tried a number of masq & SNAT rules, as well as some other tricks, but I can't quite get it. I get the traffic to the far side of the VPN (easy part), but can't get it routed out from there (just ping & traceroute for now; I'll deal with web proxy later).

TIA


This thread was automatically locked due to age.
Parents
  • 0
    Hi, Lewis,

    If I've understood what you need, no routing and (maybe) no NATs are required, just two separate connections:

    First Connection

    Side A: 

    Remote Networks:

    10.10.10.0/24
    10.10.11.0/24
    10.10.12.0/24
    Internet


    Local Networks:

    192.168.1.0/24


    Side B:

    Remote Networks:

    192.168.1.0/24


    Local Networks:

    10.10.10.0/24
    10.10.11.0/24
    10.10.12.0/24
    Internet



    Second Connection:

    Side A: 

    Remote Networks:

    10.10.10.0/24
    10.10.11.0/24
    10.10.12.0/24


    Local Networks:

    192.168.0.0/24
    192.168.2.0/24


    Side B:

    Remote Networks:

    192.168.0.0/24
    192.168.2.0/24


    Local Networks:

    10.10.10.0/24
    10.10.11.0/24
    10.10.12.0/24



    Now, add 192.168.1.0/24 to 'Allowed networks' for the HTTP Proxy in Side B.  If you aren't using the proxy, just masq 192.168.1.0/24 out Side B's yyy.yyy.yyy.yyy and add the appropriate firewall rules.

    Is that what you were looking for?

    Cheers - Bob
Reply
  • 0
    Hi, Lewis,

    If I've understood what you need, no routing and (maybe) no NATs are required, just two separate connections:

    First Connection

    Side A: 

    Remote Networks:

    10.10.10.0/24
    10.10.11.0/24
    10.10.12.0/24
    Internet


    Local Networks:

    192.168.1.0/24


    Side B:

    Remote Networks:

    192.168.1.0/24


    Local Networks:

    10.10.10.0/24
    10.10.11.0/24
    10.10.12.0/24
    Internet



    Second Connection:

    Side A: 

    Remote Networks:

    10.10.10.0/24
    10.10.11.0/24
    10.10.12.0/24


    Local Networks:

    192.168.0.0/24
    192.168.2.0/24


    Side B:

    Remote Networks:

    192.168.0.0/24
    192.168.2.0/24


    Local Networks:

    10.10.10.0/24
    10.10.11.0/24
    10.10.12.0/24



    Now, add 192.168.1.0/24 to 'Allowed networks' for the HTTP Proxy in Side B.  If you aren't using the proxy, just masq 192.168.1.0/24 out Side B's yyy.yyy.yyy.yyy and add the appropriate firewall rules.

    Is that what you were looking for?

    Cheers - Bob
Children
No Data