Route all foreign traffic through ipsec

Hi, and welcome to the User BB!

In the Remote Gateway definition in the UTM, just include the "Internet" object in 'Remote networks' along with any central office LANs that should be reached.  Similarly, in the central office, configure IPsec there to include the equivalent of "Internet" in its local networks.

I don't understand how this will reduce foreign traffic though...

Cheers - Bob

Thanks for the reply Bob!

What I'm trying to do does not reduce foreign traffic but it is cost saving. The remote office does not need to have a "foreign package" service subscription from the ISP and we can use the subscription in the central office instead. The central office has another ISP and a good deal on foreign traffic.

Routing all the internet traffic certainly is a possibility but what if I just want to route foreign traffic to the central office and local traffic can go straight out of the remote office. (I'm thinking this might make local traffic to be snappier)
I can create an object with the ip ranges that have been assigned to isp's in my country (I have the list available) Can I create a "except" definition or rule? So the ipsec tunnel will forward everything except for those ip ranges.

And if I define the "internet" object on both sites, won't I have to do some additional configuration so both sites won't just point to each other when accessing the internet? Define the central office as an "exit node" for the internet?

bump! This is still unresolved

If the "up" bandwidth in the Central office is higher than the "down" bandwidth in the Remote office, then there shouldn't be any difference in snappyness except for the slight amount created by en/decryption.

Be sure to use the AES 128 PFS policy for the tunnel.  Select 'IPsec encryption algorithm: AES 128 GCM (96 bit)'  if the processors running the two UTMs are capable of AES-NI.

Once you're doing that, you can start building a list of the foreign IPs used by your business.  That would give you an alternative to "Internet" in the tunnel.  I assume that foreign traffic is otherwise blocked for the Remote office, and that they would later need to request you to add new IPs occasionally.

If it's only web surfing you're worried about, the HTTP Proxy in the Remote office could use your UTM as the parent proxy instead of using a VPN.  You then could use a VPN only for specific, limited foreign traffic of other types.

There is no option at present for definitions by exception.  Even if there were, 815K IPs spread over 43 CIDR ranges probably would exceed the design specs for such an "exception group."  The suggestion on the Feature site has only four votes, so I wouldn't expect to see that soon. [;)]

There might be a way to accomplish the specialized routing you want at the command line, but it would certainly void any warranty or support from Sophos.

Cheers - Bob