Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 2745 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Require 1-user PPTP connection and access both ends of an ipsec vpn tunnel network

DaveG
I have seen lots of variations of this request - but still looking for the simplest solution for my situation.

UTM/LAN A 10.5.1.10/24 === IPSEC VPN ==== ASA/LAN B 10.100.5.0/24

LAN A has a PC with IP 10.5.1.12
- I can Telnet to 10.5.1.10 [ LAN A ]
- I can Telnet to 10.100.5.10 [ LAN B ]

I want to do what the PC on 10.5.1.12 can do, but from a PPTP Connection.
- I would be connecting to LAN A

1. If I use a VPN Pool ( 10.3.252.0/24 ) giving me an IP of 10.3.252.2
- I can Telnet to 10.5.1.10
- BUT I cannot ping / Telnet to 10.100.5.10

2. I only want ONE PPTP remote user to be able to access this Tunnel via PPTP.

3. I would assume making this remote user have a Static IP would fix it
- but it will only have access to one or the other; not Both Lan A and B
- depending on the Static IP I give the PPTP user

4. Would a SNAT fix it ?

Thanks
Dave


This thread was automatically locked due to age.
Parents
  • 0
    Although GMF's extra tunnel trick will work, you don't need it.  To give the user access to the other end of the tunnel, just add a Host definition for the Static IP (as GMF suggested) to 'Local networks' in the 'IPsec Connection' definition.

    1. Never assign an IP for a remote user in any range already known to WebAdmin as it will already have routing created that will affect that IP in a way that will seem mysterious to you.

    2. You won't have to worry about this or any extra Firewall rule if you simply add the IP to the tunnel for site A, and the Static IP is outside of the standard "VPN Pool (PPTP)" range.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Although GMF's extra tunnel trick will work, you don't need it.  To give the user access to the other end of the tunnel, just add a Host definition for the Static IP (as GMF suggested) to 'Local networks' in the 'IPsec Connection' definition.

    1. Never assign an IP for a remote user in any range already known to WebAdmin as it will already have routing created that will affect that IP in a way that will seem mysterious to you.

    2. You won't have to worry about this or any extra Firewall rule if you simply add the IP to the tunnel for site A, and the Static IP is outside of the standard "VPN Pool (PPTP)" range.


    I was hoping I did not have to create another tunnel and require talking to someone on the remote end to add things to their side of the tunnel!

    This is what I have:
    1. Modified my PPTP user to have a STATIC IP
     Definitions & Users, Users & Groups, Edit User
     Check mark in "Use static remote access IP
     RAS Address = 10.99.1.10  [ no significance on IP I choose ]

    2. Created a new network definition for the 10.99.1.10 address above
     Definitions & Users, Network Definitions, New Network Definition
     PPTP_User1  [ random name I choose ]
     Type = Host 
     Interface >
     IPv4 Address = 10.99.1.10

    3. Added the new Host definition address 10.99.1.10 to IPsec Local Networks
     Site-to-Site VPN
     IPsec
     Connections tab
     Edit the Tunnel in question
     Local Networks, add "PPTP_User1" to the list
    [ automatic firewall rules IS checked ]

    NOTE: This is ONLY added to my end of the tunnel - correct ?

    Results:
    When I connect via PPTP VPN to the LAN A
    I get an IP of 10.99.1.10 with default gateway of 0.0.0.0

    I am able to Ping the Host for LAN A on 10.5.1.10
    I CANNOT Ping the Host for LAN B on 10.100.5.10 ( other side of Tunnel )

    When I tracert to 10.5.1.10 I see:
       10.3.253.1          [ my PPTP network DG ]
       10.253.253.253   [ my switch / router ]
       10.5.1.10            [ local side Host ]

    When I tracert to 10.100.5.10 I see:
      10.3.253.1          [ my PPTP network DG ]
      *  Timeouts .....

    Did I miss something ?

    Dave
Reply
  • 0 in reply to BAlfson
    Although GMF's extra tunnel trick will work, you don't need it.  To give the user access to the other end of the tunnel, just add a Host definition for the Static IP (as GMF suggested) to 'Local networks' in the 'IPsec Connection' definition.

    1. Never assign an IP for a remote user in any range already known to WebAdmin as it will already have routing created that will affect that IP in a way that will seem mysterious to you.

    2. You won't have to worry about this or any extra Firewall rule if you simply add the IP to the tunnel for site A, and the Static IP is outside of the standard "VPN Pool (PPTP)" range.


    I was hoping I did not have to create another tunnel and require talking to someone on the remote end to add things to their side of the tunnel!

    This is what I have:
    1. Modified my PPTP user to have a STATIC IP
     Definitions & Users, Users & Groups, Edit User
     Check mark in "Use static remote access IP
     RAS Address = 10.99.1.10  [ no significance on IP I choose ]

    2. Created a new network definition for the 10.99.1.10 address above
     Definitions & Users, Network Definitions, New Network Definition
     PPTP_User1  [ random name I choose ]
     Type = Host 
     Interface >
     IPv4 Address = 10.99.1.10

    3. Added the new Host definition address 10.99.1.10 to IPsec Local Networks
     Site-to-Site VPN
     IPsec
     Connections tab
     Edit the Tunnel in question
     Local Networks, add "PPTP_User1" to the list
    [ automatic firewall rules IS checked ]

    NOTE: This is ONLY added to my end of the tunnel - correct ?

    Results:
    When I connect via PPTP VPN to the LAN A
    I get an IP of 10.99.1.10 with default gateway of 0.0.0.0

    I am able to Ping the Host for LAN A on 10.5.1.10
    I CANNOT Ping the Host for LAN B on 10.100.5.10 ( other side of Tunnel )

    When I tracert to 10.5.1.10 I see:
       10.3.253.1          [ my PPTP network DG ]
       10.253.253.253   [ my switch / router ]
       10.5.1.10            [ local side Host ]

    When I tracert to 10.100.5.10 I see:
      10.3.253.1          [ my PPTP network DG ]
      *  Timeouts .....

    Did I miss something ?

    Dave
Children
  • 0 in reply to DaveG
    Thanks Bob for the input - but I still can't get to the other side of the tunnel from my PPTP login.

    I called Support and they will not help since it is not a break/fix issue.

    I emailed support as well so maybe they will find a few minutes to validate I missed a step?

    This is really starting to bug me as I know this can be done.
    So I will create a lab setup with a spare utm220 and get it to work under a very BASIC configuration.  Maybe my VLAN to hosts setup is complicating things.

    Thanks again.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML