Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1657 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro SSL vpn access users to reach another site via a Astaro v8.309 & ASA v7.2(4) S

yualme
Hello Team,
 
I have Astaro & ASA IP-sec connection & it's working fine.
 
Now i want to connect Astaro SSL user with different IP pool range to connect to the ASA Lan via Astaro - ASA Ipsec tunnel.
 
Below is the change i have done so far , but it's not working.
  
Please find the attached diagram of the setup.

I have already referred the below article for the same

How to allow remote access users to reach another site via a Site-to-Site Tunnel

Am i missing something ??
 
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Site 1 = Astaro LAN Pool => 192.168.21.0/24
Site 2 = Astaro SSL Pool => 10.120.2.0/24
 
ASA Lan Pool => 192.168.1.0/24
 
@ Astaro => 1) Added the ASA Lan Pool in the local pool of the astaro SSL user.
                    2) Added the Astaro SSL pool in the IPSec Local pool with the Astaro Lan Pool.
                    3) And click on the automatic firewall rule.
 
@ ASA => 1) Add the Astaro SSL pool with the remote lan pool with the Astaro Lan pool
                 2) Add the no nat(exempt) rule Interface=> Inside for source=> ASA Lan pool To destination => Astaro SSL pool


This thread was automatically locked due to age.
Parents
  • 0
    Looks good to me.
    The only thing I don´t understand is why you use SNAT. Normally there is no need to set up a SNAT-rule when configured this way.

    When the ASA does not understand the things you did there might be an other way to solve your wishes:
    Set up IPSec between 192.168.21.0/24 and 192.168.1.0/24.
    Configure SNAT to change source to an IP from the network 192.168.21.0: 
    Rule Type: SNAT (Source)

    For traffic from: 10.120.2.0/24

    Using service: ANY

    Going to: 192.168.1.0/24

    Change the source to: 192.168.21.10
  • 0 in reply to GMF
    Looks good to me.
    The only thing I don´t understand is why you use SNAT. Normally there is no need to set up a SNAT-rule when configured this way.


    Don't know but the things are not working as expected , so i created the SNAT rule.

    When the ASA does not understand the things you did there might be an other way to solve your wishes:


    I think the issue is that ASA is not able to perform like that.

    Set up IPSec between 192.168.21.0/24 and 192.168.1.0/24.
    Configure SNAT to change source to an IP from the network 192.168.21.0: 
    Rule Type: SNAT (Source)

    For traffic from: 10.120.2.0/24

    Using service: ANY

    Going to: 192.168.1.0/24

    Change the source to: 192.168.21.10


    Ya did the same & used the 192.168.21.1 instead of 192.168.21.10.(Snap ASG5)

    But its the one way communication only , 

    10.120.2.0/24 => Can Access => 192.168.1.0/24
    192.168.1.0/24 => Can't Access => 10.120.2.0/24

    Is there any way to resolve the same?? or the trick.
Reply
  • 0 in reply to GMF
    Looks good to me.
    The only thing I don´t understand is why you use SNAT. Normally there is no need to set up a SNAT-rule when configured this way.


    Don't know but the things are not working as expected , so i created the SNAT rule.

    When the ASA does not understand the things you did there might be an other way to solve your wishes:


    I think the issue is that ASA is not able to perform like that.

    Set up IPSec between 192.168.21.0/24 and 192.168.1.0/24.
    Configure SNAT to change source to an IP from the network 192.168.21.0: 
    Rule Type: SNAT (Source)

    For traffic from: 10.120.2.0/24

    Using service: ANY

    Going to: 192.168.1.0/24

    Change the source to: 192.168.21.10


    Ya did the same & used the 192.168.21.1 instead of 192.168.21.10.(Snap ASG5)

    But its the one way communication only , 

    10.120.2.0/24 => Can Access => 192.168.1.0/24
    192.168.1.0/24 => Can't Access => 10.120.2.0/24

    Is there any way to resolve the same?? or the trick.
Children
  • 0 in reply to yualme
    But its the one way communication only , 

    10.120.2.0/24 => Can Access => 192.168.1.0/24
    192.168.1.0/24 => Can't Access => 10.120.2.0/24

    Is there any way to resolve the same?? or the trick.
    That´s correct.
    With SNAT it´s a "one way ticket" only config.

    Your goal is that the ASA knows how to reach 10.120.2.0/24. [H]


    The thing I don´t understand is why the network behind the ASA has to initiate a connection to the SSLVPN-Network behind the Astaro. [:S]
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML