Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 11435 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Remote Access SSL-VPN to IPsec site-to-site

Eddie_Astaro
Hi everyone,

I have a problem that might be easy to solve but I'm not able to by myself.

At my company we have 2 different sites. SSL VPN access is possible to each one with access to the corresponding network. The only thing that does not work is to access the other site's network via Remote Access (Astaro's SSL Client connected to Site 1 -> no access to network of Site 2)

Maybe it is not clear what I need (I'm not a native english speaker)

Working:
Site 1's network -> IPsec -> Site 2's network
Remote Access SSL -> Site 1's network
Remote Access SSL -> Site 2's network

Not working:
Remote Access SSL connected to Site 1 -> over sts IPsec -> Site 2's network

I'm not sure where to begin the configuration to solve that so it would be nice to get a hint.

Many thanks in advance!

Eddie


This thread was automatically locked due to age.
  • 0
    Hi, Eddie,

    There's an article in the KnowledgeBase on this. It uses an IPsec site-to-site to make the explanation clearer, but the principles are the same.  One problem you might have to solve is that both sides can't have the default "VPN Pool (SSL)"

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0 in reply to BAlfson
    Hi Bob,

    thanks for the hint, I'll try to find that article.

    Of course I already assigned different subnets to the "VPN Pool (SSL)" on both sites [:)]
  • 0
    Hi all,

    Now it works!

    I found the following KB article and worked it through
    How to allow remote access users to reach another site via a Site-to-Site Tunnel

    Following it the configuration for both sites was quite easy, I just don't understand why I had to add "Internet" to the local networks of the Remote Access SSL VPN config, maybe someone can explain it.

    It's a shame I haven't thought about looking in the KB in the first place so thanks again for reminding me!

    Greetings,

    Eddie
  • 0
    You're right, it isn't necessary, but I wrote the article like that because "it's more secure to have Remote Access users work with a 'full' tunnel."

    Cheers - Bob
  • 0
    I have a similar situation that isn't addressed by the KB article. The article seems to assume the road warrior is connecting to the site-to-site VPN server. If the remote access user is connecting to the site-to-site client, there is no  "remote networks" list. How can this situation be handled?

    Thanks,
    Alan
  • 0
    Hi, Alan,

    The road warrior connects to the Remote Access server in the ASG/UTM in Site 1, not to the Site-to-Site server.

    If you're using L2TP/IPsec, all networks known to the ASG/UTM are routed by WebAdmin but you do need to create Firewall rules.  This includes the networks in Site 2 if "VPN Pool (L2TP)" is included in the Site-to-Site tunnel as indicated in the article.

    In other words, this technique provides the following connectivity:

    Remote User  Site 1  Site 2



    Is that what you're trying to accomplish?

    Cheers - Bob

  • 0
    Thanks for the response. I understand the road warrior connects to the Remote Access server. I'm trying to configure the site-to-site VPN to pass traffic from Remote User to Site 2. 

    The road warrior and site-to-site VPN's are SSL.

    In my case Site 1 is the site-to-site VPN client. The KB article says the site-to-site VPN "remote networks" list at Site 1 needs to include Site 2. But, there is no "remote networks" list in the Site 1 site-to-site configuration because it is the client. The list for "remote networks" only appears for site-to-site servers.

    I hope I'm making sense.
  • 0
    Yes.  Since the configuration of the SSL VPN is defined on the "Server" side, that's the only place the change in the Site-to-Site needs to be made.  The same rule applies to having different subnets for "VPN Pool (SSL)" on each side.

    You need the Site 1 SSL VPN subnet in 'Remote networks' in the VPN "Server" definition in Site 2.

    If you create the "Server" definition in Site 1 (where Remote Access is configured), then the SSL VPN subnet goes in 'Local networks'.

    Once you make the change, you'll need to reload the "Client" side.

    Cheers - Bob
  • 0
    OK. I think I understand. I'll give that a try. Thanks.