SSL Remote access - Is a masq rule needed for remote to internal?

Is the Astaro the default gateway for the internal machines?

Cheers - Bob

Shouldn't be needed as long as the ASG is the LAN's default gateway, unless your VPN address pool is a subset of your LAN subnet (not recommended).

Internal machines using DHCP on Astaro and can connect to internet without issue.

A remote client can connect and ping Astaro but not any lan clients (or connect in any other way) until the Masq rule is added.

To test, I disable the rule and the access went away, enabled it and the access is back.

It is actually a quite simple setup as a demo for a potential client.

None of my other boxes need this "extra step".  Must be something I am missing that only effects remote access.

Tom

Forgive me for asking the obvious, but did you specify your internal network and select Automatic packet filter rules (and click Apply) on the Remote Access -> SSL -> Global tab?

This also can occur if you assign VPN IPs in the range of "Internal (Network)."

Cheers - Bob

This also can occur if you assign VPN IPs in the range of "Internal (Network)."

Cheers - Bob

That is what I did at first because I thought that otherwise I had to create new routing-rules. It didn't work and it does work with the default pool for Cisco-clients without creating any routing-rules.

So thats nice, but a connected client doesn't have DNS-settings for LAN-usage. So I can ping hosts on the LAN by IP-address but I cannot resolve anything.
Is it possible to configure this?

Ed

We stopped using the Cisco client when we could begin using the built-in Windows VPN client with L2TP over IPsec with the Astaro, so I'm not that familiar with it.  You might try: https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/p/53408/193988#193988

Cheers - Bob

It all works now, thanks!

It was Bob's idea to have a look at Steve's 'solution' that did the trick:

https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/53408

Additionally I added a few packet-rules to allow http(s) and pop/smtp traffic coming from the "VPN Pool (Cisco)" because an ASA allows for split-tunneling and Astaro doesn't.

A last strange thing remains: in the "Users and Groups" window it is not possible to add groups, just single users [:S]

Ed

It's not possible to drag backend membership groups into the box.

Correct, but I think it is misleading because the box says: " Users and Groups" and it does accept the group 'SuperAdmins'.
It would be much easier to be able to use a group with Dynamic membership so the AD can be single point of administration for our user support-desk.