Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 9139 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT SSL VPN guests to gateway internal IP?

dswartz
I've STF and not seen an answer for this.  I have been using an openvpn virtual machine for access to my home network.  It has a server-side setting that says to NAT inbound guest traffic so it looks to internal hosts like the traffic is coming from the openvpn gateway (avoid complication with routing and such).  I don't see any obvious way to do that with the SSL remote access gateway in ASG, or am I just not looking in the right place?


This thread was automatically locked due to age.
  • 0 in reply to dswartz
    I think what dswartz is getting at, is that the OpenVPN appliance has the ability to tunnel traffic or tap traffic.  Tapping the traffic bridges the remote client to the local LAN of the VPN server.  Thus, when your client connects, it sends a DHCP request which would be fulfilled by the Astaro/Sophos gateway (or DHCP server if you have one).  It would, for all intensive purposes, appear to be a machine connected directly to the LAN.  If you look in the config file, the line dev tun in the Astaro SSL config tells the OpenVPN client to connect using the tunnel interface as opposed to dev tap.  I doubt Sophos' implementation of OpenVPN on UTM allows for this type of connectivity.  It would likely require modifying config files in shell, which would probably be overwritten the next time middleware updates.

    Probably needs to be a feature request.  Endian UTM allows this connectivity.  Maybe Sophos likes a challenge?  [:)]
  • 0
    Thanks!

    I think you were just mis-remembering.  On the OpenVPN site,  How to setup Global Routing in OpenVPN Access Server indicates that the NAT selection is the same as masquerading.  In OpenVPN, they term 'Yes, using routing' as "(advanced)" because you have to create routes on devices that don't have a default gateway.

    In your case, even though the routes are in the Astaro, you would need to use SNAT or masquerading unless we can convince you that the Astaro makes it safe to give those servers a default gateway. [;)]

    Cheers - Bob
    PS The other reason people use masquerading with the "VPN Pool" networks is because they've misconfigured one or more internal host definitions, binding them to an interface - Always leave 'Interface: >' in the definition.
  • 0
    Yeah, thanks, Bob.  This all comes back now [:)]