Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 4795 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Unable to access remote VPN LANs with VPN Client

ajfarmer
I have 3 sites, all with Astaro/Sopho's UTMs.  We will call the sites A, B, and C.  They are connected via IPSec Site-to-Site VPN in a mesh type configuration as so:
A  B ,  A  C , B  C

That is working well, all users inside those LANs can access resources on the LANs of any other site.  

Site A acts as VPN endpoint for remote access using the Astaro IPSec VPN Client.  Users on the VPN client can access resources at site A, but not sites B or C.

In the Remote Access IPSec Connection config, under local networks, I have the LAN Interface of Site A as well as Network definitions for the LANs of Sites B and C listed.

In the IPSec client Profile configuration, "Split Tunneling" shows all of the correct remote network LANs of A, B, C

Any suggestions?


This thread was automatically locked due to age.
Parents
  • 0
    Hi, AJ,

    Try this KnowledgeBase article: How to allow remote access users to reach another site via a Site-to-Site Tunnel

    Also, Routing Multiple Tunnels might be helpful.

    Neither gives a complete prescription, but I bet you'll see the common thread and how elegantly simple the answer is once you get it.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Bob,

    Thanks for the reply.  I see now that the missing link is that I was not including the VPN Pool in the Remote and Local Networks.  However, it still is not working.

    Two things:

    1. The KB refers to SSL Remote Access, but we are using IPSec.  Does this matter (other than specifying the IPSec VPN DHCP Pool instead of the SSL Pool?)  I tried adding all of the VPN Pools for good measure, but still no joy.

    2. I never have seen the IP addresses from the VPN pools (10.242.4.0/24) in use on the client or on the gateway.  My clients always are assigned the IP address 192.168.254.2.  Is this normal or a misconfiguration on my part?

    Thank you for the assistance.

    A.J.
  • 0 in reply to ajfarmer
    This thread mentions the 192.168.254.x IPSec Pool symptoms I am getting, but does not provide a resolution, other than "it will be fixed in version 8", however I'm on Version 9.

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/53607

    I have tried adding the network definition of 192.168.254.x to the configuration for Local/Remote networks, etc but it still is not working.
  • 0 in reply to ajfarmer
    More info...

    I looked at the automatic firewall rules (I believe this is a UTM 9 feature?) and I can see automatic rules created which allow traffic to and from the individual User Networks to the remote site LANs.  I turned on logging on those two automatic rules, and now in my firewall log, I see traffic that is being allowed.  The source IP is the **LAN** IP address of the VPN client's PC.  In other words, the IP address of the individual's local LAN which has absolutely nothing to do with our corporate LANs or UTM configurations.  This IP address is completely out of our control and could be absolutely anything...

    Traffic is being logged by the UTM and allowed so the UTM seems happy with it.  I'm still not quite sure the problem because the connections still are not going through.  Thought I would share this as it seems significant.  Appaerently the IPSec VPN Pool (10.242.4.0) is not used at all.

    I will continue to troubleshoot.
Reply
  • 0 in reply to ajfarmer
    More info...

    I looked at the automatic firewall rules (I believe this is a UTM 9 feature?) and I can see automatic rules created which allow traffic to and from the individual User Networks to the remote site LANs.  I turned on logging on those two automatic rules, and now in my firewall log, I see traffic that is being allowed.  The source IP is the **LAN** IP address of the VPN client's PC.  In other words, the IP address of the individual's local LAN which has absolutely nothing to do with our corporate LANs or UTM configurations.  This IP address is completely out of our control and could be absolutely anything...

    Traffic is being logged by the UTM and allowed so the UTM seems happy with it.  I'm still not quite sure the problem because the connections still are not going through.  Thought I would share this as it seems significant.  Appaerently the IPSec VPN Pool (10.242.4.0) is not used at all.

    I will continue to troubleshoot.
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML