Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 10 replies
  • Answers 1 answer
  • Subscribers 2 subscribers
  • Views 12763 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Unable to access internet through PPTP connection

SystemAdministrator1
Hi,

I have a UTM220 with firmware:9.102-8

It currently has a PPTP VPN setup.

The VPN works fine, I can connect and access everything but the internet. I want users to access the internet through the VPN tunnel not through their local network.

I am at a loss where to troubleshoot this. All I can think of is maybe I need some kind of static route on the UTM?

Cheers,


This thread was automatically locked due to age.
  • 0
    Hi,

    1. do you have a Masquerading rule for the VPN Pool?

    2. do you have firewall rules allowing the traffic?

    3. make sure the 'split tunnel mode' is NOT enabled on the client:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/21226

    4. check the logs (firewall, IPS, http proxy)

    Barry
  • 0 in reply to BarryG
    Hi Barry,

    1. No I don't have a masquerading rule for the VPN Pool. The UTM is setup to pass DHCP over to our internal DHCP server, which means I don't need one??

    2. I have a firewall rule allowing Source: Internal (network), Services: web surfing, Destinations: Any
    Internal (network) includes all IPs that the DHCP server could possibly give.

    3. Yes the client is using the remote networks default gateway.

    4. IPS is currently disabled. The firewall and http proxy both don't seem to indicate anything is being blocked related to the VPN client. I have tried filtering the log with the clients IP and no filter at all, nothing stands out.

    Cheers,

    Jake.
  • 0
    Hi,

    1. if the IPs of the VPN clients are LAN IPs, then you may be OK, but if they're in the PPtP pool, you need MASQ & firewall rules

    2. same as #1

    3. I don't understand your answer. You need to disable Split Tunneling in the PPtP clients.


    Barry
  • 0 in reply to SystemAdministrator1

    4. IPS is currently disabled.


    Hi, even if the IPS is disabled, other systems (anti-DOS/flood protection) write to that log, so you should check it.

    Barry
  • 0
    The UTM is setup to pass DHCP over to our internal DHCP server

    In my experience, it's not a best practice to give a VPN user an IP in "Internal (Network)."  I realize that it works sometimes.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    OK, I am now using the default PPTP VPN pool on the UTM (10.242.1.0/24). 

    I have created two rules on the firewall. 

    1. Source: VPN Pool, Services: Any, Destination: Any
    2. Source: Internal (network), Services: Any, Destination: VPN Pool

    No traffic seems to be blocked, But I am still unable to access the Internet.

    But I am yet to create the masquerading rule as I am a little unsure on them. I have never dealt with them before. Do you guys have any handy doco/guides?

    Cheers,

    Jake.
  • +1
    Masq rules certainly are needed: 'VPN Pool (PPTP) -> External' and 'Internal (Network) -> External'.  Basically, in the packets sent out to the Internet, these just replace the Source LAN IP with the IP of "External (Address)."

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to SystemAdministrator1
    OK, so I setup a masquerading rule VPN Pool > External

    Now the Internet works! sweet!

    Can anyone explain why you need the masquerading rule? I don't understand why it is necessary?

    To anyone who is experiencing the same issue here is a link to a great little guide I wish I had found earlier [:$]

    http://www.astaro.com/lists/UTM9-Remote_Access_Via_PPTP.pdf 

    Thank you Barry and Bob for your assistance.
  • 0
    Masquerading allows multiple 'private' addresses to share a single 'public' internet address.
    What is IP Masquerade?

    Barry
  • 0 in reply to BAlfson
    Masq rules certainly are needed: 'VPN Pool (PPTP) -> External' and 'Internal (Network) -> External'.  Basically, in the packets sent out to the Internet, these just replace the Source LAN IP with the IP of "External (Address)."

    Cheers - Bob


    Thanks for the reminder!  It worked for me as well...
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML