Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1605 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Configure ASG 8.2 to allow pass-through to another Cisco VPN

Robert Altman
I'm trying to configure ASG8 to allow internal computers to connect to my client's Cisco VPN.  I've gone through similar questions on this board and was not able to get this working correctly, so I'm hoping someone can clarify what needs to be done.

I'm configuring this for an OS/X (Lion) workstation; in order to allow the VPN client to connect, I configured a FW rule to allow any source for any communication to the IP address of the VPN.  After enabling the rule, I am able to establish a connection to the VPN; however, I am not able to communicate with any services on the VPN.

I verified the communications by bypassing my network and connection directly to the Comcast router and was able to operate on the VPN without issue.

(At this point, I'm assuming this is a protocol configuration issue, but I'm not certain; what is the easiest way to temporarily disable the firewall?  Would it suffice if I created / enabled a rule at postion 1 to allow any source, any communication, any destination or is there an easier method to temporarily disable the firewall?)

Notwithstanding the above verification, how should I configure the firewall to allow communication to other resources on the Cisco VPN?  What additional information should I get from the VPN administrators?

Thanks!


This thread was automatically locked due to age.
  • 0
    Hi, you should take a look at the packetfilter and IPS logs and see what is getting blocked.

    Barry
  • 0 in reply to BarryG
    I checked IPS logs and saw nothing related (I watched the IPS live log while connecting and attempting to access VPN resources).  I also attempted to run with IPS disabled without success.

    Could this be a NAT on NAT issue?  Aside from bypassing the ASG entirely (which I have already done), how can I diagnose where the issue is?
  • 0
    Hi, Robert, and welcome to the User BB!

    Even though I don't think it's the issue, you should look in the IPS log as any messages about flooding also appear there.

    If I had to guess, I'd say your only problem sounds like your local subnet on the Astaro Internal interface overlaps with the subnet behind the client's Cisco.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks Bob,

    I checked with my network guy at work and he confirmed that it was a subnet issue; they are using 10.x.x.x (I am using 10.1.1.x) and advised that the best (easiest) solution was to move off the 10's (192.168 is the common alternative).

    I'll try that next time I get a chance and then update this thread with the results.
  • 0
    Yes, we usually recommend that all but the very largest businesses use addresses in the 172.16.0.0/12 block and that home users, internet hot spots, etc. use subnets in the 192.168.0.0/16 block.

    Cheers - Bob