Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 4797 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Unable to access remote VPN LANs with VPN Client

ajfarmer
I have 3 sites, all with Astaro/Sopho's UTMs.  We will call the sites A, B, and C.  They are connected via IPSec Site-to-Site VPN in a mesh type configuration as so:
A  B ,  A  C , B  C

That is working well, all users inside those LANs can access resources on the LANs of any other site.  

Site A acts as VPN endpoint for remote access using the Astaro IPSec VPN Client.  Users on the VPN client can access resources at site A, but not sites B or C.

In the Remote Access IPSec Connection config, under local networks, I have the LAN Interface of Site A as well as Network definitions for the LANs of Sites B and C listed.

In the IPSec client Profile configuration, "Split Tunneling" shows all of the correct remote network LANs of A, B, C

Any suggestions?


This thread was automatically locked due to age.
Parents
  • 0
    In 'Remote Access >> IPsec', 'Local networks' should include LAN-A, LAN-B and LAN-C.  You have to avoid conflicts with the "VPN Pool (IPsec)" between locations, so you will want to change them in sites B & C to something other than 10.242.4.0/24 if someday you may want to allow direct Remote Access logins in those locations, too.

    In 'Site-to-Site >> IPsec' in site A, add "VPN Pool (IPsec)" to 'Local Networks' in the IPsec Connections for sites B and C.

    In 'Site-to-Site >> IPsec' in sites B & C, add "VPN Pool (IPsec-site-A)" to 'Remote Networks' in the Remote Gateway for Site A.

    If you're using a PSK for IPsec Remote Access, you should change to using certificates; it's not difficult to configure and it's much more secure.

    If you have iPhone users, the "IPsec" client in it is actually a Cisco client, and you will need to configure that Remote Access server in the UTM also.  That will require adding and changing "VPN Pool (Cisco)" as was done above with the "VPN Pool (IPsec)."

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Bob,

    I have already done everything you mentioned with no luck.

    As I said before, the IPSec VPN Pool of 10.242.4.0 is not used at all.  I'm not even sure why it is a built-in definition.  Perhaps Astaro/Sophos meant to use it at some point but abandoned it, I don't know.

    The IPSec VPN Remote Access clients are connected to the Gateway using their local LAN IP addresses.  I think this is the problem.  There are automatic rules to allow for this on the host VPN gateway, but no way to accommodate this on the remote gateways as there are infinite possibilities of what those IPs may be...  Working with support on finding a solution.  I think masquerading may be the end solution.
  • 0 in reply to ajfarmer
    Problem resolved with tech support.

    1. Confirmed that the IPSec VPN Pool (10.242.4.0) is not used at all.  Not even sure why it is a built-in Network definition.

    2. IPSec Remote Access clients show up on the UTM with their local LAN IP addresses.  The UTM creates a rule and route on the fly to account for this which allows that client access to resources.  The remote sites have no way of knowing this dynamic IP address so that is why the remote sites don't pass the traffic.

    3. Resolution is to add a masquerading rule to make it appear to the remote UTMs that the traffic is coming from the LAN of the Remote Access UTM.
Reply
  • 0 in reply to ajfarmer
    Problem resolved with tech support.

    1. Confirmed that the IPSec VPN Pool (10.242.4.0) is not used at all.  Not even sure why it is a built-in Network definition.

    2. IPSec Remote Access clients show up on the UTM with their local LAN IP addresses.  The UTM creates a rule and route on the fly to account for this which allows that client access to resources.  The remote sites have no way of knowing this dynamic IP address so that is why the remote sites don't pass the traffic.

    3. Resolution is to add a masquerading rule to make it appear to the remote UTMs that the traffic is coming from the LAN of the Remote Access UTM.
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML