Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 9137 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT SSL VPN guests to gateway internal IP?

dswartz
I've STF and not seen an answer for this.  I have been using an openvpn virtual machine for access to my home network.  It has a server-side setting that says to NAT inbound guest traffic so it looks to internal hosts like the traffic is coming from the openvpn gateway (avoid complication with routing and such).  I don't see any obvious way to do that with the SSL remote access gateway in ASG, or am I just not looking in the right place?


This thread was automatically locked due to age.
  • 0
    It's not clear what you have or are trying to accomplish.  Is the "openvpn virtual machine" at work running an openvpn server or client?  Are you trying to access servers at work from home, servers at home from work or ???  Is this as simple at creating a Masquerading rule for the "VPN Pool (SSL)" on the Internal interface?

    Cheers - Bob
  • 0
    Sorry for clack of clarity.  I have an openvpn VM on my home network.  I connect from work and other places.  The openvpn server/VM does the NAT'ing internally, so all accesses to home servers look like internal accesses.  There is no obvious way to tweak the ASG SSL VPN openvpn server to do likewise.  I guess I could NAT that subnet, but I was hoping not to have to do that.
  • 0
    I think you would have to use NAT in order for ARPing to work.  Instead of masquerading, you could put an Additional Address named "VPN Access" on the Internal interface and create a NAT rule:

    VPN Pool (SSL) -> Any -> Internal (Network) : SNAT from VPN Access (Address)


    Of course, you could just create a masq rule with the Additional Address.

    Is that more what you were trying to accomplish?

    Cheers - Bob
  • 0
    ARP is not involved, since the subnets are different.  Sorry to be a PITA here, but I know I can use NAT on the ASG.  My point was: openvpn has this as a trivial (read: one line) server-side config file option.  Just wondered if there was a way to tweak things like that using the GUI.  I don't see any way, but was hoping I was missing something [:)]
  • 0
    I haven't tried it lately, but, unless something has changed, the Astaro doesn't know to respond to broadcast ARP requests for IPs that aren't on the internal interface.

    I'm curious, what is the single line?  Have you tried adding it to the conf file in the Astaro?

    Cheers - Bob
    Plus, I'm also confused that you would have to add any routes in addition to the ones created automatically by WebAdmin when you configure Remote Access.
  • 0
    We are having a disconnect.  The SSL VPN IP subnet is not the same as the internal subnet, so ARP does not enter into it.  I don't remember the config file directive, but I don't really want to hack on the ASG config - if I have to, I'll switch back to openvpn VM.  As far as routing, I spoke sloppily.  I have a couple of hosts on the LAN that do not have default gateways (nor do I want them to) - without the NAT trick, I can't get to them from the VPN...  None of this is a showstopper, granted...
  • 0
    To be perfectly honest, I can't actually swear it's only one line.  I seem to recall (from way back when I hacked on ovpn via the CLI on a different setup) that it was, bit I can't be 100% sure.  I do remember that the openvpn VM has a checkbox in the GUI that does this automagically.
  • 0
    The SSL VPN IP subnet is not the same as the internal subnet, so ARP does not enter into it.

    What I was trying to say is that you would have this problem if the OpenVPN server in the Astaro were to do the NAT itself and assign an IP in the subnet of your internal devices.  The Astaro has to have the IP on the internal interface in order to answer those internal ARP broadcasts.

    So, you've really piqued my curiosity!  If the OpenVPN VM can do this, it has solved the problem.  What is the checkbox labeled?

    Cheers - Bob
  • 0
    Ah, okay, I misunderstood you.  I believe the openvpn "driver" handles this redirection.   When you log in to the openvpn management GUI, you go to Configuration => VPN Settings.  On that page, one of the entries is calling "Routing" and has three choices for "Should VPN clients have access to private subnets".  They are "No", "Yes using NAT" and "Yes using Routing".  I had selected option #2.
  • 0
    Pretty lightweight too.  The appliance is only configured for 1/2GB RAM.