Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 904 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Various questions regarding VPN

pedja
Hi all,

There are several questions which I have regarding the VPN deployment.

1. I am considering to have 425 or 525 on central site which needs to provide IPSEC services for various branches. Some of them because of limitations do not have coverage with normal MPLS/Leased Lines so we are going for 3G/4G modem options. Can Sophos UTM appliances create VPNs as long as the HQ is on a permanent static address and remote office is on dynamic ?
2. We are in the need of running dynamic routing protocols, such as OSPF. I would like to run the OSPF protocol to exchange routing between VPN peers instead of creating the access rules for each subnet (we are talking for over 20 networks on main site and 2-3 networks on each location).
3. Can we force the traffic from other locations to be routed in full through our HQ offices (including the internet).

Regards,

P.


This thread was automatically locked due to age.
  • 0
    Hi, P.

    1. MPLS isn't necessary.  In fact, if each site has a UTM, then MPLS can be replaced in most circumstances with RED tunnels.  You also can use a dynamic DNS service if you want to configure the IPsec Remote Gateways as "Initiate Connection" in the UTM.  If you configure them as "Respond only" instead, a DynDNS service is not needed.

    3. If you use "Any" in 'Local networks' for all IPsec Connections in the HQ UTM, and the equivalent of "Any" in the Remote Gateway definitions in the branch offices, all traffic will be routed through the HQ UTM.

    2. With all traffic routed through the UTM, OSPF should not be needed.  You only need to have the 2-3 subnets for each location in the Remote Gateway definition in the HQ UTM and in the equivalent of 'Local networks' in each branch.  The UTM will create all of the necessary routes, but you will need to create Firewall rules to allow whatever traffic you want.

    Again, since you want to route all traffic through HQ, if you don't already have an IPsec-capable device in a location, you might want to consider a RED 10 or a RED 50, depending on the size of the branch and the speed of their WAN connection.  REDs work fine with dynamic IPs.

    You need to work with your reseller to design a robust, cost-effective solution.  In any case, I would recommend having a second 425/525 in Hot-Standby configured in full-mesh and a second ISP completely separate from your first for HQ.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi,

    Thanks for the quick reply. Well we will have redundant links on our Cisco ASRs which are in front of the routers. We have eBGP with our peering ISPs and iBGP between the routers.

    The UTMs will have one default gateway which is the HSRP address of the ASRs. The MPLS line is needed and a requirement, while 3G/4G will be the option to run at the beginning with dynamic IP addresses on the remote sites while we have a static on HQ. Later the MPLS will be the primary link for the remote sites while 3G/4G as backup option.

    For the MPLS we will have additional routers placed in the DMZ area of the firewall cluster.

    Once again thanks for the quick reply !!!
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML