S2S: Allow a few local networks + internet access for branch

Hi, Ingo,

Unfortunately everything else goes through the WAN interface of the branch ASG which let to some access problems.

Please state this in another way, telling us what access problem you're having.  Also, what are the precise versions of the Cluster and the branch unit you're having a problem with?

Cheers - Bob

Hello BAlfson,
let me state the current configuration differently. I guess it becomes clearer then:

ASG425 V9.006 Cluster + ASG120 @ current version

Site to Site Tunnel with the following presented networks (obfuscated):

ASG425                                            ASG120
-------------------------------------------------
LAN1                                                  Local LAN
LAN2
LAN3

The clients from the ASG120-network are perfectly able to access LAN1,2,3 and vice versa. The ASG425-IP in LAN2 is set as Proxy in IE/FF/Chrome on the ASG120 Clients.
Thats why they use it for http/s access (which works since the network is available to them)

With this config however all 0.0.0.0/0 Traffic leaves the WAN-Interface of the ASG120 (which is Default-GW on that side)

What I am now interested in is the following:

Can I configure the tunnel in such way, that LAN1,2,3 are accessible but not LAN4,... AND the ASG120-clients use the tunnel for all traffic towards public networks (i.e. the Internet).

I don't want them to have access to all networks on the main side but control the Firewallrules centrally on the main side (so no local breakout on the branch side for anything except getting the tunnel up)

I hope this helps make my problem clearer [:)]

best regards

Add the "Internet" object in the 'IPsec Connection' in the 425 Cluster and in the 'Remote Gateway' in the 120.  Does that do what you wanted?

Cheers - Bob

Sorry for any short responses.  Posted from my iPhone.

Dear BAlfson
I cannot test it at the moment since I cannot risk any issues on that site.
But we are ordering some new 120s at the moment and I will test it with one of those and let you folks know if that solves my question [:)]

Best regards

Hello
I tried this and it does not work

I added one cluster network + Internet IPv4 to the ASG425
The remote ASG120 has the Internal LAN configured

The tunnel comes up with 2 SAs:
425-LAN -> 120 LAN
0.0.0.0/0 -> 120 LAN

Problem: I am able to connect to hosts within other 425-LANs than the one configured

I added one cluster network + Internet IPv4 to the ASG425
The remote ASG120 has the Internal LAN configured

Did you add "Internet" to 'Remote networks' in the ASG120?

Problem: I am able to connect to hosts within other 425-LANs than the one configured.

If that's pings, then you could disable that on the 'ICMP' tab and then create manual Firewall rules to regulate pinging.  If it's other accesses, then my guess would be that there's a Firewall rule with "Any" that should have "Internet" instead.

Cheers - Bob

Hello
I had the following config:

425:
Local: e.g. 10.0.2.0/24 + Internet IPv4
Remote: 10.1.2.0/24

120:
Local: 10.1.2.0/24
Remote: 10.0.2.0/24 + Internet IPv4

With that configuration i was also able to access 10.0.3.0 (not only ping but RDP etc. as well)

And thats just the thing I do not want to allow [;)]

Best regards

In that case you have to uncheck automatic firewall rules and create rules yourself so that only the internet gateway can be reached but not the entire subnet.
Automatic rule is always:

Site1 (Network) -> Site2 (Network   any   Allow   (and vice versa).

Hello
tried that...didn't work.

Neither automatic rule nor a rule specifically allowing access from 10.25.0.0/16 to Internet IPv4+10.0.x.0/24 work.

Client is still able to access 10.0.y.0/24.

Is this properbly a routing problem on some level?

In which order are routing / firewalling etc. done?

The 425-Cluster has a static route to the core switch which does inter-VLAN Routing (and therefore would allow the traffic if the packets arrive there un-firewalled)

Best regards

You mustn't allow traffic from 10.25.0.0/16 to 10.0.x.0/24 because that enables all traffic from A to B.
You would need something like Allow from 10.25.0.0/16 to 10.0.x.1 (so only 1 host and not the entire /24 subnet).
This host should be your UTM, probably the Internal (Address)

You may also have to enable "Bind tunnel to local interface" because I think you would need some (static) routes.