Unable to access remote VPN LANs with VPN Client

Hi, AJ,

Try this KnowledgeBase article: How to allow remote access users to reach another site via a Site-to-Site Tunnel

Also, Routing Multiple Tunnels might be helpful.

Neither gives a complete prescription, but I bet you'll see the common thread and how elegantly simple the answer is once you get it.

Cheers - Bob

Bob,

Thanks for the reply.  I see now that the missing link is that I was not including the VPN Pool in the Remote and Local Networks.  However, it still is not working.

Two things:

1. The KB refers to SSL Remote Access, but we are using IPSec.  Does this matter (other than specifying the IPSec VPN DHCP Pool instead of the SSL Pool?)  I tried adding all of the VPN Pools for good measure, but still no joy.

2. I never have seen the IP addresses from the VPN pools (10.242.4.0/24) in use on the client or on the gateway.  My clients always are assigned the IP address 192.168.254.2.  Is this normal or a misconfiguration on my part?

Thank you for the assistance.

A.J.

This thread mentions the 192.168.254.x IPSec Pool symptoms I am getting, but does not provide a resolution, other than "it will be fixed in version 8", however I'm on Version 9.

https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/53607

I have tried adding the network definition of 192.168.254.x to the configuration for Local/Remote networks, etc but it still is not working.

More info...

I looked at the automatic firewall rules (I believe this is a UTM 9 feature?) and I can see automatic rules created which allow traffic to and from the individual User Networks to the remote site LANs.  I turned on logging on those two automatic rules, and now in my firewall log, I see traffic that is being allowed.  The source IP is the **LAN** IP address of the VPN client's PC.  In other words, the IP address of the individual's local LAN which has absolutely nothing to do with our corporate LANs or UTM configurations.  This IP address is completely out of our control and could be absolutely anything...

Traffic is being logged by the UTM and allowed so the UTM seems happy with it.  I'm still not quite sure the problem because the connections still are not going through.  Thought I would share this as it seems significant.  Appaerently the IPSec VPN Pool (10.242.4.0) is not used at all.

I will continue to troubleshoot.

AJ, what client are you using?  It shouldn't make any difference that you're using IPsec for both Remote Access and site-to-site.

Please show the edit of the IPsec Connection and Remote Gateway Edits for two sites.

Cheers - Bob

Using Astaro IPSec Client

I'm going to go ahead and open a support case on this.  I appreciate the help.

Hi,

you could also try to masquerade the IPsec Dial-In Range with an subnet that is allready known by the site2site tunnel.

Gerald

In 'Remote Access >> IPsec', 'Local networks' should include LAN-A, LAN-B and LAN-C.  You have to avoid conflicts with the "VPN Pool (IPsec)" between locations, so you will want to change them in sites B & C to something other than 10.242.4.0/24 if someday you may want to allow direct Remote Access logins in those locations, too.

In 'Site-to-Site >> IPsec' in site A, add "VPN Pool (IPsec)" to 'Local Networks' in the IPsec Connections for sites B and C.

In 'Site-to-Site >> IPsec' in sites B & C, add "VPN Pool (IPsec-site-A)" to 'Remote Networks' in the Remote Gateway for Site A.

If you're using a PSK for IPsec Remote Access, you should change to using certificates; it's not difficult to configure and it's much more secure.

If you have iPhone users, the "IPsec" client in it is actually a Cisco client, and you will need to configure that Remote Access server in the UTM also.  That will require adding and changing "VPN Pool (Cisco)" as was done above with the "VPN Pool (IPsec)."

Cheers - Bob

Bob,

I have already done everything you mentioned with no luck.

As I said before, the IPSec VPN Pool of 10.242.4.0 is not used at all.  I'm not even sure why it is a built-in definition.  Perhaps Astaro/Sophos meant to use it at some point but abandoned it, I don't know.

The IPSec VPN Remote Access clients are connected to the Gateway using their local LAN IP addresses.  I think this is the problem.  There are automatic rules to allow for this on the host VPN gateway, but no way to accommodate this on the remote gateways as there are infinite possibilities of what those IPs may be...  Working with support on finding a solution.  I think masquerading may be the end solution.

Problem resolved with tech support.

1. Confirmed that the IPSec VPN Pool (10.242.4.0) is not used at all.  Not even sure why it is a built-in Network definition.

2. IPSec Remote Access clients show up on the UTM with their local LAN IP addresses.  The UTM creates a rule and route on the fly to account for this which allows that client access to resources.  The remote sites have no way of knowing this dynamic IP address so that is why the remote sites don't pass the traffic.

3. Resolution is to add a masquerading rule to make it appear to the remote UTMs that the traffic is coming from the LAN of the Remote Access UTM.