Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 19708 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN assigns NO gateway IP

DonV
First post so bare with me please, I am in the process of switching to a UTM 220 and I am having decent success so far...  My first real snag is connecting with SSL VPN from a laptop where I couldn't see my mapped drive's content once connected.  I could ping the IP, 'server.domain.local', but not 'server', so I checked my SSL adapter's DNS setting and my "Append these DNS suffixes" value was incorrect, so I corrected it (not sure where it came from) and I could now see my mapped drive's content.  I refreshed the connection and now the gateway IP is blank.  I can't seem to find where, if anywhere, it would come from on the UTM.  My Remote Access>Advanced setting include my internal DNS servers, no WINS, and the correct local domain.local setting.  I changed my VPN SSL network definition to 192.168.19.0; my DNS and  Internal subnet is 192.168.10.0... Maybe it's late and I can't see anymore, but I am not sure where to look now for the gateway setting... is it a reinstall of the adapter or???  I've read some great stuff here which helped me through some basics, so I hope you can help me with this as well!

---
New to UTM,
Thanks in advance, ITDV70


This thread was automatically locked due to age.
  • 0
    have you created firewall rules (or setup automatic firewall rules) allowing your SSL clients to access your server(s)?

    Managing several Sophos UTMs and Sophos XGs both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

    Sometimes I post some useful tips on my blog, see blog.pijnappels.eu/category/sophos/ for Sophos related posts.

  • 0
    Hi ITDV70, and welcome to the User BB!

    Since you've just set it up, confirm that you've followed The Zeroeth Rule in Rulz.  I also would recommend changing VPN Pool (SSL) back to 10.242.2.0/24.

    If, after making any adjustments based on that, you still have problems, [Go Advanced] below and attach pictures of the Edit of the SSL Profile and the SSL 'Settings' tab.  Also, open the SSL VPN Live Log and show the lines from one Connection attempt.  Finally, open the Firewall Live log to see if anything relevant is being blocked. 

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    The SSL VPN does not set a default gateway. It creates routes to the destination networks.
    You can check this by typing "route print" in a command prompt when you are connected via SSL VPN. There should be a line like 
    192.168.10.0 255.255.255.0  [...]

    which indicates that there is a route to your remote network going through your SSL VPN...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to apijnappels
    have you created firewall rules (or setup automatic firewall rules) allowing your SSL clients to access your server(s)?


    I may be missing something but I have a rule for this, and it works; all VPN Pools, Any Service, Any Destination.  I can see the resources as long as I set my SSL network adapter settings manually.  If I just download and install with the 'touchless' install it has missing settings.  Not something I can roll out easily.

    Thanks!
  • 0 in reply to BAlfson
    Hi ITDV70, and welcome to the User BB!

    The Zeroeth Rule 

    Cheers - Bob


    Thanks Bob,
    Regarding this rule, I called my UTM originally; UTMhere-GW.domain when I powered it on and used the wizard, then I changed it to hereGW.domain before I added the DNS record at my registration site.  You think I should still start again from factory reset?

    I will check the logs now... and see what I can see.

    Thanks!
  • 0 in reply to scorpionking
    The SSL VPN does not set a default gateway. It creates routes to the destination networks.
    You can check this by typing "route print" in a command prompt when you are connected via SSL VPN. There should be a line like 
    192.168.10.0 255.255.255.0  [...]

    which indicates that there is a route to your remote network going through your SSL VPN...


    OK, I am confused about where the SSL VPN network settings come from when you install the VPN client then...?

    I will check the log too!
  • 0
    You definitely want a Hostname that is an FQDN that resolves in public DNS to the IP on your External interface.

    If you don't have a fixed IP, you can use a free service like FreeDNS along with a DynDNS setting in WebAdmin.  If you have your own domain, you can use hereGW.domain.com as the hostname by using a CNAME record that points at the DynDNS FQDN instead of an A record that you would have to update manually.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    You definitely want a Hostname that is an FQDN that resolves in public DNS to the IP on your External interface.

    If you don't have a fixed IP, you can use a free service like FreeDNS along with a DynDNS setting in WebAdmin.  If you have your own domain, you can use hereGW.domain.com as the hostname by using a CNAME record that points at the DynDNS FQDN instead of an A record that you would have to update manually.

    Cheers - Bob


    I have multiple static IPs for my site and as of last week, an FQDN that resolves publicly, for hereGW.domain.com  I caught this in one of you other posts for setting up the REDS, one of the main reasons I switched over.  I will do some more testing and post some results...

    Thanks again.
  • 0 in reply to DonV
    OK, I am confused about where the SSL VPN network settings come from when you install the VPN client then...?

    They are pushed by UTM everytime you start the connection.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    They are pushed by UTM everytime you start the connection.


    Yes, that part I understand but where can I set the GW or the suffix to append?  I always assumed you needed a GW to cross subnets.  My assumption then is the UTM figures this out another way.

    My other concern with the VPN connections is that even though I get the sites DNS server (I can ping IP) they don't resolve the name as expected.

    Example:  server1.domain.local will not ping, server1 will not ping but server1.domain will ping.

    Thanks for the pointers so far!
    -ITDV70
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML