Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 2076 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec S2S - Need to route internet traffic out far side of the VPN for one subnet

LewisRosenthal
Hi, all...

Long subject; apologies.

Facts:

ASG v8 on both sides of the connection
IPSec VPN / RSA keys
Multiple internal nets on each side of the VPN

Problem:

Need to route traffic from one internal net on one side of the VPN to the internet out the public IP on the other side of the VPN.

Example:

Side A:

192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
zzz.zzz.zzz.zzz (public IP)

Side B:

10.10.10.0/24
10.10.11.0/24
10.10.12.0/24
yyy.yyy.yyy.yyy (public IP)

I need internet-bound traffic from 192.168.1.0/24 to "originate" from yyy.yyy.yyy.yyy.

I've tried a number of masq & SNAT rules, as well as some other tricks, but I can't quite get it. I get the traffic to the far side of the VPN (easy part), but can't get it routed out from there (just ping & traceroute for now; I'll deal with web proxy later).

TIA


This thread was automatically locked due to age.
Parents
  • 0
    Wow! Indeed, that was it. Thanks again, Bob.

    Now, what's left is to deal with the "spillage." I can't seem to firewall the traffic coming from the subnet in question from the other Side B local LANs, i.e., traffic from 192.168.1.0/24 now properly "originates" on the internet from yyy.yyy.yyy.yyy (Side B public interface), but the final piece of the puzzle is to keep someone on 192.168.1.0/24 from reaching someone on 10.10.10.0/24. I've tried adding drop rules on both sides, but I'm still not able to stop the traffic from hitting that far side, private LAN. Any thoughts on this part?
Reply
  • 0
    Wow! Indeed, that was it. Thanks again, Bob.

    Now, what's left is to deal with the "spillage." I can't seem to firewall the traffic coming from the subnet in question from the other Side B local LANs, i.e., traffic from 192.168.1.0/24 now properly "originates" on the internet from yyy.yyy.yyy.yyy (Side B public interface), but the final piece of the puzzle is to keep someone on 192.168.1.0/24 from reaching someone on 10.10.10.0/24. I've tried adding drop rules on both sides, but I'm still not able to stop the traffic from hitting that far side, private LAN. Any thoughts on this part?
Children
No Data