Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2190 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Tunnel traffic over IPSEC and drop anything going out the primary wan

aza2001
Hi All,

Have a weird scenario for an application here in the office and will try and paint a picture in point form of what we are trying to achieve:

We have the a remote lan (Site A) connecting to our Head office (HO) via ipsec, everything is fine.

we have a device that we need to put at Site A that requires an IP Address and gateway of HO, and when the tunnel drops we need it to stop communicating with all other traffic.

I have tried testing a machine down in Site A running windows and putting the local lan details and a static route (gateway route) but it doesn't push any traffic

firewall rules are in place too.

Not sure what else to do besides some sort of SNAT or something?


This thread was automatically locked due to age.
  • 0
    configure a red connection and use multipath rules to push all traffic from that device for any service over that red connection.
  • 0
    Hey Ben,

    Unfortunately we already have hardware devices at both ends (60 users + servers at site A and over 100 at HO)

    So my question how do I get the interfaces to show up on a hardware device on the otherside? This is a very similar thought I had before as well...
  • 0
    we have a device that we need to put at Site A that requires an IP Address and gateway of HO, and when the tunnel drops we need it to stop communicating with all other traffic.

    Please explain differently.

    So my question how do I get the interfaces to show up on a hardware device on the otherside?

    That, too. 

    Cheers - Bob
  • 0
    Okay

    Site A is connected via IPSec to Head office

    Site A has a machine that requires its licence file to show up as head offices IP address all the time

    If the IPSec tunnel drops the machine connects to the service using Site A's ip thus a reconfiguration and call to the supplier is required. 

    What I need is this one machine to use the gateway or drop all connections if the IPSec is stopped or drops. (Note we also have web protect running for the proxy function) 


    I thought a static route may fix it but doesn't seem to? 

    Any thoughts [:)]
  • 0
    Why not add a manual firewall rule that drops this traffic and configure Web Filtering with the public IP of the destination server in the Transparent mode skiplist?  In this way, if the IPsec tunnel is up, its automatic firewall rule will allow the traffic before your manual rule can block it.  Does that do what you want?

    Cheers - Bob