Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec with NAT assistance

Having trouble with IPSec configuration.  Polices and keys don't seem to be the issue since  phase I is established but still having problems getting remote hosts to connect to local host.  

Scheme is this...

Remote Network domain = xx.yy.zz.0/27
Remote host(s) will connect to local host using ***.yyy.zzz.120
Local host is actually using address aaa.bbb.ccc.99 

So NAT is set to xx.yy.zz.0/27 > any service > ***.yyy.zzz.120 > DNAT > aaa.bbb.ccc.99 using auto firewall rules

I'm a end-user so log is not very helpful to me.  What am I missing?  

Thanks in advance for the help.


This thread was automatically locked due to age.
Parents
  • Ruhllatio can better explain how it's generally done.  All I can tell you is that, with the ASG/UTM, when the VPN is established, all necessary routing and Firewall rules are generated automatically.  In fact, you can't create any manual Firewall rules or Routes that will get an opportunity to touch any packets handled by the VPN.

    If you have to use a DNAT, SNAT or Masq rule to make things work, then there must be, as ruhllatio's question implies, a configuration error.

    One "gotcha" that I keep trying to get the developers to lock out is binding Host/Network definitions to a specific interface; every definition that you create should be left with 'Interface: >'.

    Cheers - Bob
Reply
  • Ruhllatio can better explain how it's generally done.  All I can tell you is that, with the ASG/UTM, when the VPN is established, all necessary routing and Firewall rules are generated automatically.  In fact, you can't create any manual Firewall rules or Routes that will get an opportunity to touch any packets handled by the VPN.

    If you have to use a DNAT, SNAT or Masq rule to make things work, then there must be, as ruhllatio's question implies, a configuration error.

    One "gotcha" that I keep trying to get the developers to lock out is binding Host/Network definitions to a specific interface; every definition that you create should be left with 'Interface: >'.

    Cheers - Bob
Children
No Data