Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 1 subscriber
  • Views 7541 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

S2S: Allow a few local networks + internet access for branch

IngoPohlschneider
Hello
I recently stumbled into a trap [:P]

I configured a branch VPN to have access to some local resources.
The clients are configured with a proxy so that they use the ASG on the main site for Internet access (no local breakout)

Unfortunately everything else goes through the WAN interface of the branch ASG which let to some access problems.

Is it possible to configure a Site2site VPN so that it behaves like a RED in Standard/Unified mode?

I want to limit the access of the branch to some local resources + Internet access.
So by default I want all the traffic of the branch that is not within their own subnet to come through the tunnel

best regards
Ingo


This thread was automatically locked due to age.
  • 0
    Hello
    I want to allow all traffic vorm 10.25.0.0/16 to 10.0.x.0/24 (so all hosts in that network).

    What I do not want is traffic to go to 10.0.y.0/24

    The 425-Cluster does not have the  "Bind tunnel to local interface"-option (maybe due to version 9.006-5 running on the Cluster?)
  • 0
    I have a UTM-320 cluster where this option is available see picture

    Managing several Sophos UTMs and Sophos XGs both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

    Sometimes I post some useful tips on my blog, see blog.pijnappels.eu/category/sophos/ for Sophos related posts.

  • 0
    Hello
    it is also available on all other ASGs we have, but not the 425 Cluster. My guess is this is due to the old version 9.006.5 running on this cluster. Updated is planned for the next downtime
  • 0
    Neither automatic rule nor a rule specifically allowing access from 10.25.0.0/16 to Internet IPv4+10.0.x.0/24 work.
     
    Client is still able to access 10.0.y.0/24.

    If the traffic is allowed even though 'Automatic Firewall Rules' is not selected, then there must be another Firewall rule allowing the traffic.  If the access is pings, then that's regulated on the 'ICMP' tab.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hello
    I found a rule some genius might have created. 
    When disabled everything works as expected...

    So to conclude the setup works like this:
    120-network throws everything into the tunnel since the 0.0.0.0/0-Internet object is linked to the tunnel.
    The local 425 gets the traffic and passes it to the firewall (regardless of the local-networks configured in the tunnel..they are only important for setting up the SA + the Auto-Rule right?) which then matches the traffic. It either hits the Auto-Rule (which should at best be the only matching rule) or other rules that apply (which should at best not even exist)

    What a wonderful life [[:)]]

    Thanks for your help guys...and sorry for me being to stupid to look for other matching rules in the Firewall in the first place, but this is kinda uncomfortable, since ASG has no "show me stuff matching this network/host"-tool (which would be nice [;)] )

    Case closed [[:)]]
  • 0
    Ingo, you can use the [Find] button at the top of the rule list.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hey Bob,
    I could for sure [[;)]] If only I new what to search for...definitions are not consistently named [:(] (But I am working on fixing that [[;)]] )

    Best regards [:)]
  • 0
    You can search on content, too, like "Any" "Internet" "SMTP" etc.

    In 'Network Definitions', you can search, for example, for "10\.0\." and limit the search to "Networks" or "Interface Networks" to see if there are other definitions to search for in the Firewall rule list.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML