DHCP Relay through IPsec tunnel

Hi, 

1. I'm not sure if DHCP can be relayed through the tunnel so I won't try to answer that.

2. as far as your pings go:
a. check the ICMP settings tab under Network Protection - Firewall
b. check the logs (IPS, firewall)

Barry

Hi, DL, and welcome to the User BB!

I agree with Barry that you will never be able to use an External interface to relay DHCP or to do so successfully with a Full NAT.  From a security point of view, I'm not comfortable with what you're proposing - too much exposure to a possible lack of physical security at the home site.  If you really want to link the home and office intimately, configure a RED tunnel between the two and bridge the home LAN to the office LAN - then DHCP is done automatically.

Cheers - Bob

Hi Bob, 

From his subject, it seems like he has an IPSEC tunnel but I'm guessing that can't do DHCP relaying.

Aside from the DHCP issue, would a RED be any more secure than IPSEC?

Barry

You're right, Barry, it's probably just as secure as an IPsec tunnel.  I don't feel like it's a good idea to do either if any insecure device or person at home can connect to the office.  A separate DMZ at home could work though.

Cheers - Bob

Sorry for any short responses.  Posted from my iPhone.

So basically the answer is that you can't do any DHCP over IPsec without a RED? I can accept that, but I've seen hints of others doing it here on V8. And of course, I am still curious why I can't access any remote computers from the local LAN, via ping or otherwise.

As far as my local and remote gateway PING setups are concerned, both are configured as follows (for testing purposes):
+ Allow ICMP on Gateway
+ Allow ICMP through Gateway
- Log ICMP redirects
+ Gateway is Ping visible
+ Ping from Gateway
+ Gateway forwards Pings
- Gateway is Traceroute Visible
+ Gateway forwards Traceroute

Note that I can PING the remote gateway itself from the local gateway, but nothing else, AND I can ping any local LAN machine, use Remote Desktop to any local LAN machine, etc. from my remote network. Just no the other way.

@BAlfson, given that both ends are protected by UTM9 I'm not much worried about external threats, and if someone can breach the internal side of the remote network, DHCP or not isn't going to make a whole lot of difference...

Hi, I suspect that either the Office firewall does not have the Home firewall's LAN defined correctly in the VPN settings for Remote Networks, and/or there is a network conflict where 192.168.1.x is in use somewhere else in the network.

You should also check the logs (firewall, IPS, application control) on both UTMs, and check the Windows Firewalls on the home computers.

Barry

I just checked, PING works when enabled in the firewall. I guess Domain computers have different ping rules because I'd not seen that before.

As far as DHCP Relay is this the same thing? https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/52286

Also does anyone know of anyway for remote UTM DHCP server to update the DNS on the local PDC or is that a security no-no as well?

you can't do any DHCP over IPsec without a RED?

It's just that the RED is a cleaner way to do it.  Using the External interface wasn't the right solution though, and the situation with IPsec is complicated by the fact that, beginning with V8, there's been no ipsec0 virtual interface available.

given that both ends are protected by UTM9 I'm not much worried about external threats, and if someone can breach the internal side of the remote network

I agree, but it's not external threats that concern me, it's the internal ones at home.  If you are the only person with access to the home LAN (or a DMZ) and you have secure wireless, then your home LAN (DMZ) is secure enough to do a site-to-site safely to the office.

remote UTM DHCP server to update the DNS on the local PDC

DNS in the UTM is not full-featured DNS - think of it more as a sophisticated proxy.

Cheers - Bob

I can agree that the RED is a cleaner way of doing it. However I does have one noticeable drawback, namely that when the tunnel fails, all of external internet is closed as well. With S2S on a UTM9 box, this doesn't happen, or at least doesn't on a my current split VPN setup. The Local internet (DSL) is actually slower than my Remote connection (FiOS) due to the telco monopoly in the region where the work LAN is located so routing my internet traffic through the Local UTM seemed a bit backwards.

So do you or anyone else know how to setup the IPsec DHCP relay? As far as who's on the remote net, it's just my wife and I, and I don't give out the wireless key to guests. The wireless security is WPA2-PSK. It's about as secure as I can reasonable make it. Having DHCP relay to the Windows PDC is mostly a convience feature for the DNS update and naming that the PDC does because the remote LAN is also using DHCP so the IP addresses of remote computers may change when accessed from work. The point of this S2S tunnel is to make both networks accessible from both locations at any time. I do a lot of work-from-home. I'm not really expecting to secure my networks against the NSA, just the general riff-raff.