Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 1487 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Route web traffic up IPSEC Tunnel and out the other side

AdamCantwell
Hello Everyone,

I am currently trying to wrap my head around a scenario a customer has presented me with.

We have two sites one in Melbourne Australia (192.168.1.254) , and the other in LA, USA (10.1.190.252) connected via an IPSEC tunnel which is working well.

The customer wants to be able configured the Melbourne UTM to route web traffic for a certain site out of the internet link in LA so it appears that the traffic is coming from the link in the USA, this is obviously to avoid geographical restrictions.

I have had a play with multipath rules, and SNAT attempts but I am having no joy.

Can anyone offer any suggestions?

Cheers.


This thread was automatically locked due to age.
  • 0
    Is the remote site a Sophos utm as well ?
    If so maybe point the browser to the ip of the remote Sophos utm as an explicit proxy
  • 0
    Hi, Adam, and welcome to the User BB!

    There are a couple different tricks you can use, depending on whether there're Web Filtering subscriptions on both sides (like jlabza suggests).  The trick to get traffic to specific servers to go through the VPN is to define a different tunnel using a phantom network.

    Tunnel #1: {192.168.1.0/24}:{Melbourne public IP}  {LA public IP}:{10.1.190.0/24}
    Tunnel #2: {192.168.254.0/24}:{Melbourne public IP}  {LA public IP}:{Internet}



    The next step is to SNAT the desired traffic into the second tunnel, so 'Strict routing' must not be selected in the IPsec Connection for Tunnel #2.  I think that, instead of a simple SNAT, you can use a 1-to-1 Source NAT to be able to identify the local IP in Melbourne:

    1-to-1 NAT : {192.168.1.0/24} -> Web Surfing -> {select IPs} : Map Source to {192.168.254.0/24}



    Finally, either allow the traffic from {192.168.254.0/24} out in LA with firewall and masq rules and/or add {192.168.254.0/24} to 'Allowed networks' in Web Filtering.

    Did you have better luck with that approach?

    Cheers - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML