Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 18749 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DHCP Relay through IPsec tunnel

DigitalLuminary
Hello everyone,

I've been beating my head on this one for a while now and I can't seem to figure it out. I am trying to relay DHCP requests from a remote network to a DHCP server (Windows 2008 SBS PDC) on the local LAN. So far I can use local LAN DNS names from the remote network and can log into the local router from the remote LAN, however, I cannot PING any machine from the Local network to the Remote network just the gateway/router (192.168.1.1). My configuration thus far:

Local LAN (Sophos UTM9 FullGuard)
Local Network: 192.168.0.0/24
DHCP Server: 192.168.0.2 (Windows PDC)
UTM DHCP Relay: Internal(Interface) -> 192.168.0.2

Remote LAN (Sophos UTM9 Home Edition)
Local Network: 192.168.1.0/24
UTM DHCP Relay: Internal(Interface) -> 192.168.0.2 (Will NOT let me add the External(WAN) interface)

What I am I missing here? My intuition says a Full NAT rule, but i'd have no idea how to set one up.


This thread was automatically locked due to age.
Parents
  • 0
    you can't do any DHCP over IPsec without a RED?

    It's just that the RED is a cleaner way to do it.  Using the External interface wasn't the right solution though, and the situation with IPsec is complicated by the fact that, beginning with V8, there's been no ipsec0 virtual interface available.

    given that both ends are protected by UTM9 I'm not much worried about external threats, and if someone can breach the internal side of the remote network

    I agree, but it's not external threats that concern me, it's the internal ones at home.  If you are the only person with access to the home LAN (or a DMZ) and you have secure wireless, then your home LAN (DMZ) is secure enough to do a site-to-site safely to the office.

    remote UTM DHCP server to update the DNS on the local PDC

    DNS in the UTM is not full-featured DNS - think of it more as a sophisticated proxy.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    you can't do any DHCP over IPsec without a RED?

    It's just that the RED is a cleaner way to do it.  Using the External interface wasn't the right solution though, and the situation with IPsec is complicated by the fact that, beginning with V8, there's been no ipsec0 virtual interface available.

    given that both ends are protected by UTM9 I'm not much worried about external threats, and if someone can breach the internal side of the remote network

    I agree, but it's not external threats that concern me, it's the internal ones at home.  If you are the only person with access to the home LAN (or a DMZ) and you have secure wireless, then your home LAN (DMZ) is secure enough to do a site-to-site safely to the office.

    remote UTM DHCP server to update the DNS on the local PDC

    DNS in the UTM is not full-featured DNS - think of it more as a sophisticated proxy.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    I can agree that the RED is a cleaner way of doing it. However I does have one noticeable drawback, namely that when the tunnel fails, all of external internet is closed as well. With S2S on a UTM9 box, this doesn't happen, or at least doesn't on a my current split VPN setup. The Local internet (DSL) is actually slower than my Remote connection (FiOS) due to the telco monopoly in the region where the work LAN is located so routing my internet traffic through the Local UTM seemed a bit backwards.

    So do you or anyone else know how to setup the IPsec DHCP relay? As far as who's on the remote net, it's just my wife and I, and I don't give out the wireless key to guests. The wireless security is WPA2-PSK. It's about as secure as I can reasonable make it. Having DHCP relay to the Windows PDC is mostly a convience feature for the DNS update and naming that the PDC does because the remote LAN is also using DHCP so the IP addresses of remote computers may change when accessed from work. The point of this S2S tunnel is to make both networks accessible from both locations at any time. I do a lot of work-from-home. I'm not really expecting to secure my networks against the NSA, just the general riff-raff.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML