Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 5013 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple VPNs with the same VPN pool network

timelord
Hi there,

I'm running Sophos UTM, the latest production version (currently v9.006-5).

I would like to use the same VPN pool network for both L2TP/IPsec VPN and SSL VPN (and other VPNs too), but I'm getting the following error message:

VPN IP assignment pools overlap.



These are my settings / requirements:

  • public (non-rfc1918) IP address range for the VPN pool
  • no NAT-ing for the VPN clients


I have everything working with one VPN type (L2TP/IPsec), but I cannot add another VPN (SSL VPN) with the same VPN pool. I'm getting the error message I've mentioned above.

I need to provide multiple VPN options to our clients, but since I don't know which one they're going to use, I do not want to waste multiple /24 or /23 subnets for VPN access that might not be used so frequently. I'd rather have one /23 or /22 subnet assigned to one common VPN pool, and use that one across multiple VPNs. We've had this design used for our Microsoft Remote Access (Windows Server 2008/2012) solution, where all VPNs (PPTP, L2TP/IPsec, SSTP) have been sharing the same /23 VPN pool. I need to migrate the same network design to Sophos UTM Remote Access now.

Is there any workaround to achieve this? Am I missing something here?

Thank you for any help or advice.


This thread was automatically locked due to age.
  • 0
    You might split your IP pool into smaller subnets and assign each subnet to one VPN type.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    You might split your IP pool into smaller subnets and assign each subnet to one VPN type.


    Unfortunately, that's exactly what I do not want to do due to the reason I mentioned in my first post.
  • 0
    Hi,

    Try asking your reseller and/or Sophos support. If the answer is no, post a feature request at UTM (Formerly ASG) Feature Requests: Hot (1154 ideas)

    Barry
  • 0
    Hi Barry,


    We are in the evaluation process right now. We're testing the product before we buy it. I tried to contact Sophos Support with another question related to Sophos UTM, and the only response I got was "thank you for contacting us, here's your pre-sale contact". That's it, nothing else. No response since then. So I've started asking questions here, and I'm getting much better support here than from the official Sophos Support.
  • 0
    You need to be working with a reseller.  Some of the best UTM engineers are in the pre-sales support group, and access to them is organized by your reseller.

    The Remote Access servers are different packages created by different groups and cannot share IP pools.  Why not start with /26 subnets and then move to larger ones when needed?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Just from a solutions point of view, it is always interesting to me to look at use-cases. Why are you needing to give them public IP's when using VPN to your network? If you don't want to discuss publically, feel free to PM me. Would be great to know your setup and requirements, even if we end up not able to solve your problem, so we can learn for the future.

    As a rule, VPN pools can't overlap (totally screws up the routing, in the same manner you dont know how they will connect, then neither will the UTM be able to create accurate routes which are effective). If you really must offer public IP's and have only a limited amount available, is there no creative subnetting you could do to split up the available public IP's into ranges for each VPN type? Is there a reason you need to support multiple VPN types still? (you mentioned L2TP and SSL VPN?)
  • 0
    Hi Angelo,

    Well, it's not my decision to go with public IPs. We have a public B-class and several public C-classes, and our network team doesn't want to go with NAT-ed IPs at all. If it was up to me, I would not mind to go with rfc1918 IPs.

    As I mentioned above, we need to provide multiple VPN types. Since I do not know which one is going to be preferred, I could probably allocate a minimum required subnets for each VPN type and then scale it base on the usage.

    We've had the design of one subnet for all the VPN types used for our Microsoft Remote Access (Windows Server 2008/2012) solution, where all VPNs (PPTP, L2TP/IPsec, SSTP) have been sharing the same /23 VPN pool.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML