Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 2073 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec S2S - Need to route internet traffic out far side of the VPN for one subnet

LewisRosenthal
Hi, all...

Long subject; apologies.

Facts:

ASG v8 on both sides of the connection
IPSec VPN / RSA keys
Multiple internal nets on each side of the VPN

Problem:

Need to route traffic from one internal net on one side of the VPN to the internet out the public IP on the other side of the VPN.

Example:

Side A:

192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
zzz.zzz.zzz.zzz (public IP)

Side B:

10.10.10.0/24
10.10.11.0/24
10.10.12.0/24
yyy.yyy.yyy.yyy (public IP)

I need internet-bound traffic from 192.168.1.0/24 to "originate" from yyy.yyy.yyy.yyy.

I've tried a number of masq & SNAT rules, as well as some other tricks, but I can't quite get it. I get the traffic to the far side of the VPN (easy part), but can't get it routed out from there (just ping & traceroute for now; I'll deal with web proxy later).

TIA


This thread was automatically locked due to age.
Parents
  • 0
    You have to remove 10.10.10.0/24 from the first connection.  Any Firewall rules you make will be considered after the automatic ones created for the VPN have already allowed the traffic, so, just like the routes weren't helping before, Firewall rules can't help now.

    Once you see it, it will be simple - just as any traffic not explicitly allowed through a firewall will be blocked, traffic not explicitly connected by the VPN will not go through the tunnel.

    This also goes back to the basic concept that "DNATs come before Proxies and VPNs come before manual firewall rules and routes."

    Cheers - Bob
Reply
  • 0
    You have to remove 10.10.10.0/24 from the first connection.  Any Firewall rules you make will be considered after the automatic ones created for the VPN have already allowed the traffic, so, just like the routes weren't helping before, Firewall rules can't help now.

    Once you see it, it will be simple - just as any traffic not explicitly allowed through a firewall will be blocked, traffic not explicitly connected by the VPN will not go through the tunnel.

    This also goes back to the basic concept that "DNATs come before Proxies and VPNs come before manual firewall rules and routes."

    Cheers - Bob
Children
No Data