Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 3161 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site VPN using overlapping RFC1918 space?

BrianRobison
Hi all.  We have a new vendor who hosts their servers at Rackspace, and we need to set up a site-to-site vpn.  I could use a pointer or two.  Here is an analogous config with distinctive IP's removed.

Corporate network: various 172.16.0.0/12 subnets and various 10.0.0.0/8 subnets.
Firewall "Internal" interface is 172.17.1.1/24, and the router facing the home network is 172.17.1.2/24.
There are a some static routes ("gateway" routes) on Sophos FW of
172.16.0.0/12 => 172.17.1.2
10.0.0.0/8 => 172.17.1.2
So all class A and B RFC1918 traffic is sent to corporate network router.
CORP NETS  CORP ROUTER  SOPHOS FW  INTERNET

The vendor wants to use IP space of 10.1.1.1/32 for their server.
So I put a static route on the local router of
10.1.1.1/32 => 172.17.1.1
And I built the site-to-site VPN, but I realized that the firewall has a static route of 10.0.0.0/8 pointing back to the home router, so the home router and the FW are pointing back to each other for traffic destined to 10.1.1.1/32.  A classic routing loop.
So, on the Firewall, I built an "Interface route", and for network 10.1.1.1/32, I pointed that traffic to the "Internal" interface of the firewall.
This works, but the vendor is complaining of traffic being dropped sporadically.  Did I build this right?  If not, how should I have done it?
TIA,
Brian


This thread was automatically locked due to age.
  • 0
    Brian, I'm not sure where the vendor's server is - in their location, or in yours?

    172.16.0.0/12 => 172.17.1.2
    10.0.0.0/8 => 172.17.1.2

    The actual subnets should be used or you will always have routing problems.  There's no clean way to do it otherwise.  Your organization needs to make this easier for you and authorize you to establish rules for what subnets can be added where.  

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Brian, I'm not sure where the vendor's server is - in their location, or in yours?


    The actual subnets should be used or you will always have routing problems.  There's no clean way to do it otherwise.  Your organization needs to make this easier for you and authorize you to establish rules for what subnets can be added where.  

    Cheers - Bob

    The vendor's server is hosted on the other side of a site-to-site VPN.  Sometimes, higher-ups buy a solution that require the network types to make adjustments, whether or not that's how it SHOULD be.  In this case, the vendor's solution occupies a single IP address in the 10.0.0.0/8 range.  So, either I take away the blanket route on the FW pointing 10.0.0.0/8 to the Corporate router, or I put in a single exception on the FW handling the routing for the vendor's single IP.  If I choose to handle the single vendor's IP, is the way that I chose the right one?

    CORP NETS  CORP ROUTER  SOPHOS FW  INTERNET  VPN  HOSTED SERVER

    Seems to me that using the RFC1918 space in the corporate environment, overlap with some other entity's use of RFC1918 addresses is almost a given at some point in time.
  • 0
    As long as the VPN is defined as follows, I think the routes created for it by WebAdmin will have precedence over the Static Routes you created.

    {172.16.0.0/12 & 10.0.0.0/8}:{your public IP}{Their public IP}:{10.1.1.1/32}


    That would make your route for 10.1.1.1 redundant.  Any luck with that?

    Cheers - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    As long as the VPN is defined as follows, I think the routes created for it by WebAdmin will have precedence over the Static Routes you created.

    {172.16.0.0/12 & 10.0.0.0/8}:{your public IP}{Their public IP}:{10.1.1.1/32}


    That would make your route for 10.1.1.1 redundant.  Any luck with that?

    Cheers - Bob



    You got my curiosity up, so I used the ON/OFF switch button on the static route to turn it off, and you're right: it still works, so I was making it more complicated than it needed to be.  Thanks!
  • 0
    Good news, Brian!  Thanks for reporting back.  In fact, that's the only way it can work when a VPN is involved - check out #2 in Rulz.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML