Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2641 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

route specific traffic from one UTM to another's WAN

aza2001
Hi,

we have a requirement that is required so:

push traffic from LAN 1 on UTM 1 for any network device that tries to access a list of certain URLS routes to UTM 2's WAN over IPSEC

IPSEC is enabled and the two sites can talk to one another, but there is a list of sites that we need to pump out of UTM2 due to compliance and licensing.

otherwise other URLs should be pushed out via the Local LAN

TIA

Az


This thread was automatically locked due to age.
  • 0
    Get the IP address(es) from the sites and add them the the VPN domain on both sites and that's it, NAT the addresses behind UTM1 on the UTM2 WAN interface.

    Cheers.

    P.
  • 0
    Predrag's solution is great!

    If you have Web Protection on both sides, I think you can use a Parent Proxy on UTM1 to direct these web requests to Web Filtering on UTM2.  You would need to add LAN1 to 'Allowed networks' in Web Filtering in UTM2.  You would not need to masquerade LAN1 on the UTM2 in this case as the HTTP Proxy handles that itself.  Similarly, you would not need to modify the tunnel definitions on both sides.  This approach only has an advantage if you're going to be adding or subtracting new hosts - this would only require adding or subtracting entries in the Parent Proxy definition in UTM1.

    Cheers - Bob
  • 0
    Nice!

    I was hoping that I could use web protection or some form of DNS routing to obtain an accurate result.

    As sometimes the end point changes IP addresses (had issues with them modifying servers in the past) and dns taking a while to update (no biggy but it is helpful)

    I'll post results later on which method I ended up using.

    Cheers again guys,
    Az
  • 0
    In that case, Az, the Parent Proxy approach would be easier to maintain.

    Cheers - Bob
  • 0
    Ah I didn't consider the web proxy in this case, apologies (I though the question was IPSEC only [[:)]]). Glad to have helped [[:)]]