Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 1 subscriber
  • Views 1448 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[SSL VPN remote access] How works the routing?

eserzet_01
Hello together,

My specs:
latest stable ASG7
eth0 172.16.0.0/16
eth14 217.x.x.x (Internet)

I tried to activate SSL VPN remote access for our employees. So first of all I used the standard parameters (VPN SSL IP Pool 10.242.2.0/24) an set as local network eth0. That works good to everyone.

So I changed the VPN SSL IP Pool to 172.16.253.0/24 , but with this settings, the packets go to my eth0 network --> 172.16 local client but aren't returning. I think here is a routing problem. That seems to me quiet logically, because same net 172.x.x.x .

But exactly this we are using with PPTP (172.16.254.0.0/24 Pool). Why does this work with PPTP?


Thank you!

Greetings
eserzet


This thread was automatically locked due to age.
Parents
  • 0
    I think you found another trap that I've fallen into in the past!  We don't use PPTP because its encryption is week, so I don't know why it works.

    On L2TP and SSL, the standard approach is to NOT have VPN Pools inside the same subnet as 'Internal (Network)'.  I think the problem you're having is that the Astaro wants to route returning messages inside 'Internal (Network)' and not out the external interface through the VPN.  Perhaps someone else here could provide a more-precise explanation.

    Of course, you can "trick" the Astaro by creating NAT rules or static or policy routes, but the easiest thing is just to use the standard '10.' definitions that come with the Astaro.  You will need the appropriate packet filter rules (consider defining a network group that includes the VPN Pool and 'Internal (Network)').  Also, if you intend for them to access the outside world via your network, then you'll need a masquerading rule for the VPN Pool.  If they are to use your HTTP Proxy to access the internet through you, then you'll need to add the VPN Pool to 'Allowed networks'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    I think you found another trap that I've fallen into in the past!  We don't use PPTP because its encryption is week, so I don't know why it works.

    On L2TP and SSL, the standard approach is to NOT have VPN Pools inside the same subnet as 'Internal (Network)'.  I think the problem you're having is that the Astaro wants to route returning messages inside 'Internal (Network)' and not out the external interface through the VPN.  Perhaps someone else here could provide a more-precise explanation.

    Of course, you can "trick" the Astaro by creating NAT rules or static or policy routes, but the easiest thing is just to use the standard '10.' definitions that come with the Astaro.  You will need the appropriate packet filter rules (consider defining a network group that includes the VPN Pool and 'Internal (Network)').  Also, if you intend for them to access the outside world via your network, then you'll need a masquerading rule for the VPN Pool.  If they are to use your HTTP Proxy to access the internet through you, then you'll need to add the VPN Pool to 'Allowed networks'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Cookie Information Banner