Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 10583 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Route internet traffic through Site to Site VPN

BurtonComputerServices
I'm working on a company that has two sites and they are connected through a Site to Site VPN.  I have added a web filtering license to the "main" site and is working correctly as a transparent proxy using the Astaro Authentication Agent (we could not use standard proxy because of issues with some sites).  However the remote site now has unlimited internet access directly out that sites Astaro.  I need to route their internet through the VPN tunnel and through the main Astaro that has web filtering. 

I tried to figure out everything I could from this post: https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/53174 and this post https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/54601 but still kinda stuck.  So far I have:

On the Main router (internet access) - Network A
- added Network B to the allowed networks for web filtering.
- added Network B to the Local Networks under IPS
- added a masq rule for the Network B -> Uplink Interfaces

On the Remote router  - Network B
- added the main DNS server for the domain
- added the AD server
- joined it to the domain (successfully)
- added the same users and group so they are identical

From here I thought I could just create two policy rules on the Network B router, one for HTTP and one for HTTPS, that would be gateway rules and forward the traffic to the Network A Astaro but it doesn't seem to be working (when I turn on the rules I see no traffic in the web filter log from that subnet).  If I can't do this I suppose I can route all traffic (not much else would be going out anyway).

So the first question is how can I go about setting this up correctly so web traffic can be routed over the VPN and out the "main" router.  Secondly will the Astero Agent work in this configuration?

-Allan


This thread was automatically locked due to age.
  • 0
    Hi, have you added 'Internet' to the VPNs?
    (to the Local Networks in the VPN settings on Main, and to the Remote Networks on Remote)

    Barry
  • 0 in reply to BarryG
    Hi, have you added 'Internet' to the VPNs?
    (to the Local Networks in the VPN settings on Main, and to the Remote Networks on Remote)

    Barry


    No and I may be missing something as I don't see those exact settings.  Could you explain a little more in detail?  Also will this route all traffic through?
  • 0
    You didn't say what version of Astaro/UTM you're on... I'm looking at 8.3 right now:

    Site-To-Site VPN -> IPSEC -> Remote Gateways
    On your 'remote' firewall, hit 'Edit' and add 'Internet IPv4' (and IPv6 if applicable) to the Remote Networks

    Site-To-Site VPN -> IPSEC -> Connections
    On your 'Main' firewall, hit 'Edit' and add 'Internet IPv4' (and IPv6 if applicable) to the Local Networks

    Also, make sure your PacketFilter/Firewall rules allow the traffic, and check the firewall and IPS logs on both ends if there's a problem.

    If that doesn't help (afaik it should), then you may also need to add a static route.

    Barry
  • 0
    Ok, kinda what I figured looking through it but glad you clarified.

    So I set it up as described and rebooted both sides.  I can still access both routers on their external IP addresses for management and the VPN works, I can ping between both sites on internal IP addresses and DNS resolves (I can ping the domain name in the remote site and it responds with the ADDS/DNS server in the main site).  But internet access is still going directly out of the remote site and not down through the main site.  For example if I do a Tracert Google it never goes to the main sites IP address subnet.  

    Right now there are no static routes on either Astaro.  Should there be?   I tried a policy route hoping to just redirect http and https but either I'm not setting it up right or that also isn't working.

    Oh, running 8.309 on both Astaros.  Main is a 220, remote is a 120.  Also I really would rather jsut have HTTP and HTTPS being routed through the main site as to not mess with the IP phones, FTP traffic, and RDP stuff.
  • 0
    if I do a Tracert Google...

    Allan, remember that ICMP is regulated on the 'ICMP' tab of 'Firewall'.  Try a web access instead.

    You shouldn't need (and can't use) static routing to move packets into or out of a VPN tunnel.

    Doing what you said you want in post #5 is tricky.  Since you are using the Auth Agent, you don't care if all of the traffic from the 120-site appears to be coming from a single IP.  Try this:
    [LIST=1]
    • Remove the Internet object from the tunnel definition on both sides.
    • Add the IP of the 120's "Internal (Address)" to 'Allowed networks' for Web Filtering on the 220.
    • In the 120, confirm that the IPsec Connection does not have 'Strict routing' selected.
    • Also in the 120, make a NAT rule: 'SNAT : Internal (Network) -> HTTP&S -> Internet : from Internal (Address)'
    [/LIST]
    How's that work for you?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML