Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1829 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Terminating all VPN tunnels at the one and only static IP address?

Moose
Hi folks,

one of my customers, all small internet agency (20+ employees) building websites and CMS has got a contract with a big automotive supplier who wishes them to establish a site-2-site IPsec VPN to support their webservers located in their own net.

So far, so good.

But, my customer currently has just one static IP addresse and getting a /29 subnet will end up in getting in a new more expensive contract for him with his provider/carrier.

So my questions is if it possible to terminate all IPSec and SSL-VPN tunnels at this one and only IP address, lets say on a SG105 or above? Please keep in mind, client-2-site VPNs for his employees will follow up in short and all the other internet traffic has to go over this one and only address also.

And if this is possible, is it a risc (from throughput or anyhting else) or can you recommend this solution? Be honest, please!

Thanks in advance

Guido


This thread was automatically locked due to age.
  • 0
    Hi, Guido,

    I would use the AES-128 PFS policy with X509 certs for the IPsec site-to-sites.  Search the KnowledgeBase for Site-to-Site VPN X509.  This will give you fast, secure connections.  If you were to use Pre-Shared Keys, it would be less secure and would require an additional setting.

    For SSL VPN Remote Access, change the Protocol from TCP to UDP to speed up the connections and reduce latency.  If you can't change the protocol to UDP, then change to another port like TCP 1443 to avoid conflicts with other uses of TCP 443.

    Cheers - Bob
  • 0
    The internet line is the bottleneck, not the IP address.

    When upgrading to a /29, all new IPs share the same line, so there is no difference.
  • 0
    Hi BAlfson and papa_,

    first of all many thanks for your quick respones and useful hints!

    Especially I'll have a look at your's, BAlfson!

    And form your answer, papa_ I read there is no need to order an additional /29-Subnet for my requirements, right?

    Greetinx

    Guido
  • 0 in reply to Moose

    And form your answer, papa_ I read there is no need to order an additional /29-Subnet for my requirements, right?


    Right, SSL-VPN and IPSec-VPN can share one IP.