Same subnets in a vpn ipsec

Only if you renumber one network or change the IPSEC tunnel to a RED tunnel.

Barry

1.- Only if you renumber one network
-- The reason would be that the routing table on each router will have two routes to the same subnet 192.168.100.0/24 (the local and remote) and then only one segment would be reached at a given time??

2.- or change the IPSEC tunnel to a RED tunnel.
-- RED tunnel is only a Sophos Tecnology or is a standard industry and can be found on other vendor as Cisco?

Hi,

1. yes, and there's a high risk of IP conflicts.

2. RED is Sophos-only. You still have a risk of IP conflicts unless you use the Sophos DHCP services on both ends.

Barry

In the past (around V8), I have made communication succeed at site-to-site SSLVPN  in our lab.

When it's a couple of IPs, I think it can.
The setting by this way is complex.

UTM-A
Add in Additional Addresses
192.168.200.a/24
192.168.100.11/32

UTM-B
Add in Additional Addresses
192.168.201.b/24
192.168.100.10/32

VPN tunnel
192.168.200.0/24  --- 192.168.201.0/24

UTM-B
FULL NAT
Matching Condition
For traffic from:192.168.100.11
Going to:192.168.100.10
Action
Change the destination to:192.168.200.a
Change the source to:192.168.201.b

UTM-A
FULL NAT
Matching Condition
For traffic from:192.168.201.b
Going to:192.168.200.a
Action
Change the destination to:192.168.100.10
Change the source to:192.168.100.11

When doing setting above-mentioned, you'd be able to access 192.168.100.10 from 192.168.100.11.
Maybe it works in IPSecVPN when Strict Routing is disable.

I would recommend you to change the subnet on one of the sites and if you really cannot do so than the next best thing is to use NAT.
Using NAT is explained very well here.

Hi yasu, but I think that in the configuration that you propose, the packets destined from 192.168.100.10 to 192.168.100.11 never reach the default gateway and therefore forwarded through the tunnel, since the destination IP (192.168.100.11 ) is in the same subnet (level 2)

That's what I intend to achieve, but it seems impossible [[:(]] [[:(]]
Connecting Two Remote Local Networks With Transparent Bridging Technique :: Oleksiy Kovyrin

If one of these two sites is under your control, the right solution is Barry's #1: change the subnet to a /24 in 172.16.0.0/12.  If not, then your only other solution is the "classic" solution suggested by yasu that has been extended in the link suggested by apijnappels.

If you control both sites, then you'll have some command line work to do to bridge physical and VPN interfaces in both boxes, and some of what you will need to do in the UTM probably won't survive a reboot.  When's the last time you tried to put on dress socks while standing up?  If, like me, you were stubborn enough to do it once, why didn't I ever try to do it again? LOL

Cheers - Bob

Hi BAlfson, I did not understand what you mean to tell me in the second paragraph, can you be more specific please? 1000 thanks!!!

Your best bet is to change the network addressing on one side to save yourself a heap of potential problems.  If this is not possible, do https://www.sophos.com/en-us/support/knowledgebase/115579.aspx with NATted fake networks.

Bob's second paragraph is saying that in theory there might be a way to make it work transparently on the UTM from the shell, but it would be very complex and unsupported to do so.  The bit about socks is a joking analogy.