Interface For SSL Tunnel

Hi, Jacob, and welcome to the User BB!

This isn't possible in WebAdmin, but might be from the command line.  What version are you on - 9.004-33?

Please give examples of traffic you want to go over the tunnel and through the local gateway.

Cheers - Bob

Hi Bob, Thanks! glad to be here :-)

Yes I was just playing around for several hours yesterday with SCP and SSH trying to see where the web UI pulls its list of interfaces from without much success. I am on the latest version 9.004-33. I managed to get the OpenVPN client mode to connect to my VPN provider by using a generic .apc file and modifying the file at /var/chroot-openvpn/etc/openvpn/client/config-default so it doesn't read any settings from the .apc file just creates a config with my settings etc...

So I am stationed overseas and enjoy from time to time to have a US IP address for streaming, VOIP, Etc.. most of the web surfing DNS traffic I would want to go over my Local GW but lets say for instance I want all google IP ranges to go out the VPN interface  I also would like to be able to NAT that traffic apply FW rules and do some snorting on the stuff thats going through the tunnel.

I realize that this is not ideal as the feature is at current not built into the UTM, but I believe it is possible I was using the setup with pFsense. just wondering how we can achive this maybe with udev and bridging idk...any ideas/help welcome and I will continue working on it should be as easy as tricking the UTM to see the tun interface as some kind of physical/hardware interface...

Hi,
Adding the networks you want to tunnel to the 'Remote Networks' in the VPN configuration should achieve what you want, but you probably need to use the VPN ISP for (all) DNS or you won't get what you need.

Barry

Hi Barry,

Sorry I Don't Think We Are Working Off The Same Playbook Here....[:S]

Attaching Pictures Of What I'm Looking At Maybe It Will Make More Sense...

Thank You

Jacob, Barry meant that you can define 'Remote networks' in the VPN in WebAdmin to include only the Google IPs, for example.  Firewall rules apply if you don't select auto firewall rules, but I'm not sure what NAT you have in mind.

Cheers - Bob

Bob,
I did see the option for the remote networks under the "Server Setup" but not under the client setup. I will upload a picture of what I am seeing and also I tried out some configs that in my mind should work but don't i'm missing something just getting the traffic out the VPN... anyways what I mean for the NAT is I want it to look and behave exactly as it is on the LAN-->WAN config but LAN-->VPN (StrongVPN Provider)

Ahh, SSL, not IPsec.  Google on site:astaro.org strongvpn

Then limit the search to Jan 1, 2011 to today.  The first two threads will help.  Also, you might search the last year for site:astaro.org openssl

The trick is to create a server definition, download the client, delete the server, modify the client and upload the modified client.  From what I've seen so far of your posts, I bet you have the skill set to do this.

Cheers - Bob

Thank You Bob!! for your help and the info did help!! I was able to get the traffic out the VPN but sadly I will be moving back to pfSense the inability to select the VPN interface in adding rules and nat as well as gateways and anywhere in the GUI is a very big downside for this awesome product I am hoping that this functionality is added in the future I am going to add some pics here to show and maybe help the devs be more clear on what this should maybe look like Overall i was very impressed with the UTM but it lacks the functionality that I believe should be there I have created a feature request here Add Site-to-Site VPN Tunnel Interfaces To List Of Interfaces The other thing that i would like to see is to drop the .apc file requirement and use openVPN native config files...

Since I haven't configured a pfSense, I'm not sure what I'm seeing in your pictures, but clearly you know how to use it to create the solutions you need.  In versions prior to V9, the tun# and ipsec# interfaces are available at the command line, but there was no place to use them in WebAdmin.

The issue you described is solved differently with this software - I haven't encountered a situation where I was unable to select what traffic goes through a tunnel.  I suspect that the items you want to create are done automatically by WebAdmin when the client-side SSL VPN is uploaded.  Perhaps someone here with more pfSense knowledge can confirm/deny my suscpicions.

Cheers - Bob

Yes as I said I was able to get the traffic out the VPN and all is working but I am unable to apply any rules to the traffic through the webadmin interface which is to me the main configuration interface not the command line.

All I am saying here is that I don't understand why the devs decided to leave out the ability to select the tunnel interface and use it for rules and gateways and whatever through the webadmin for easy configuration.

Yes I was/am very curious about where the extra configurations were coming from I could not see any reference to networks and such in the config file that I downloaded from the server but when I would upload the client config it would add the local and remote networks to the server...

as far as pfsense goes nothing that i can tell is done automatically on the first pic I upload it's just showing you that you can select and assign the tunnel interface pretty much the same as the interfaces page on Sophos UTM then the next one is showing you can add the interface as a gateway then the 3rd pic is showing a rule sending all traffic destined for the specified net-blocks out the tunnel gateway