Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 1 subscriber
  • Views 7541 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

S2S: Allow a few local networks + internet access for branch

IngoPohlschneider
Hello
I recently stumbled into a trap [:P]

I configured a branch VPN to have access to some local resources.
The clients are configured with a proxy so that they use the ASG on the main site for Internet access (no local breakout)

Unfortunately everything else goes through the WAN interface of the branch ASG which let to some access problems.

Is it possible to configure a Site2site VPN so that it behaves like a RED in Standard/Unified mode?

I want to limit the access of the branch to some local resources + Internet access.
So by default I want all the traffic of the branch that is not within their own subnet to come through the tunnel

best regards
Ingo


This thread was automatically locked due to age.
Parents
  • 0
    Hello BAlfson,
    let me state the current configuration differently. I guess it becomes clearer then:

    ASG425 V9.006 Cluster + ASG120 @ current version

    Site to Site Tunnel with the following presented networks (obfuscated):

    ASG425                                            ASG120
    -------------------------------------------------
    LAN1                                                  Local LAN
    LAN2
    LAN3

    The clients from the ASG120-network are perfectly able to access LAN1,2,3 and vice versa. The ASG425-IP in LAN2 is set as Proxy in IE/FF/Chrome on the ASG120 Clients.
    Thats why they use it for http/s access (which works since the network is available to them)

    With this config however all 0.0.0.0/0 Traffic leaves the WAN-Interface of the ASG120 (which is Default-GW on that side)

    What I am now interested in is the following:

    Can I configure the tunnel in such way, that LAN1,2,3 are accessible but not LAN4,... AND the ASG120-clients use the tunnel for all traffic towards public networks (i.e. the Internet).

    I don't want them to have access to all networks on the main side but control the Firewallrules centrally on the main side (so no local breakout on the branch side for anything except getting the tunnel up)

    I hope this helps make my problem clearer [:)]

    best regards
Reply
  • 0
    Hello BAlfson,
    let me state the current configuration differently. I guess it becomes clearer then:

    ASG425 V9.006 Cluster + ASG120 @ current version

    Site to Site Tunnel with the following presented networks (obfuscated):

    ASG425                                            ASG120
    -------------------------------------------------
    LAN1                                                  Local LAN
    LAN2
    LAN3

    The clients from the ASG120-network are perfectly able to access LAN1,2,3 and vice versa. The ASG425-IP in LAN2 is set as Proxy in IE/FF/Chrome on the ASG120 Clients.
    Thats why they use it for http/s access (which works since the network is available to them)

    With this config however all 0.0.0.0/0 Traffic leaves the WAN-Interface of the ASG120 (which is Default-GW on that side)

    What I am now interested in is the following:

    Can I configure the tunnel in such way, that LAN1,2,3 are accessible but not LAN4,... AND the ASG120-clients use the tunnel for all traffic towards public networks (i.e. the Internet).

    I don't want them to have access to all networks on the main side but control the Firewallrules centrally on the main side (so no local breakout on the branch side for anything except getting the tunnel up)

    I hope this helps make my problem clearer [:)]

    best regards
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML