Site-to-Site VPN with Cisco using Public IP

Hi, Paul, and welcome to the User BB!

Just put the public IP range into 'Local networks' in the 'IPsec Connection' definition, and don't select 'Strict routing'.  Then you can either use a DMZ with public IPs or SNAT from the public range to get traffic from private IPs to go through the tunnel.  If you still have a question, please give examples of the ranges you want to use.

Cheers - Bob

Hi Bob,

Thanks for the reply. I was able to establish the VPN tunnel but I am having trouble setting up the rules to route the traffic. Based on your suggestion, I decided to use NAT rather than DMZ and since I need to both send/receive the traffic, I have setup SNAT and DNAT. Would appreciate your help. As you asked, attached below us my setup:


[FONT="Courier New"]LAN[Astaro]WAN-100.x.x.x-----VPN-----200.y.y.y-WAN[Cisco]---
VPNLocalNet 101.x.x.x/28
VPNRemoteNet 201.y.y.y/16, 202.y.y.y/16 and 202.y.y.y/23
[/FONT]

I need the remote location to be able to FTP to the server on IP 101.x.x.10 and that to be routed to an internal private IP of 10.1.1.10.

Appreciate any insight you can provide. Thanks.

Those all look like public IPs.  If they aren't, please edit your post and change to 172.16.x.y for private IPs.  Also, is "VPNLocalNet" short for 'Local networks' in the 'IPsec Connection' definition?, and is 101.x.x.x/28 an actual network connected to a UTM interface, or is it the public range that we want to SNAT from?

If I have understood correctly, then put 201.y.y.y/16, 202.y.y.y/16 and 202.y.y.y/23 into a Group named "RemoteNets" and the rule would look like:

SNAT : Internal (Network) -> Any -> RemoteNets : from {101.x.x.x}

Cheers - Bob