Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 11659 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Raspberry PI VPN network

SnurrDass
Hi..

I'm currently setting up a network whit headless rPI
and i like them to report home to my network by VPN.
this way i can run SSH/FTP/HTTP/etc. from home computer out to the rPI sites thats connected.
i have now 4 rPI at disposal and now installing openvpn.
before i start connecting the rPI to my Sophos, I'd like to configre the UTM correctly cause i think i need some try/error/diag/++ to get this going, and knowing my sophos is correct make it more easy to diag the rPI's.
At VPN i have Zero knowledge, so.... what i think my VPN structure should look like:

20+  rPI w/openvpn
the rPIs are given IP from the Sophos, 
rPIs are accessing Internet trough the VPN connection and not the wan local connection.
rPIs a just allowed to access my internal server in home network (192.168.0.202) and my personal computer. all other devices cannot access the rPIs.
get the  rPIs static dresses like dns/ip so i know what rIP i accessing.

over time i think this network is going to expand and I'd like to keep it easy so future expand is not time eating operation.

does anyone have the time and desire to help me achieve this?

Dan


This thread was automatically locked due to age.
  • 0
    Hi, I'd think it should work if you use the SSL VPN Client config files in OpenVPN.

    Have you tried it?

    Barry
  • 0
    I bet Barry's right.  For each new site, just put Internet and your PC into 'Local networks'.  Since 192.168.0.0/24 is a common subnet, I think you should change your local LAN to something in 172.16.0.0/12. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hey. Tanks for the response

    I haven't tried the openvpn on the rpi yet, I'd like to have the sophos setup correctly before I download the config files and try out the openvpn client.

    What I've done is:
    Local lan as is. 192.168.0.0/24
    I created a ssl vpn in the remote section.  
    And thats it.

    When using my android phone, the openvpn client connect and receive an ip but I no access to the lan or wan. I think this is a FW setup.

    I have a web server running and it have both http/https. Those this create a problem when both service is running on port 443?

    Dan
  • 0
    If you have your webserver publicly available via DNAT or WAF and you only have one public IP: Yes, this is a problem.
    Change the SSL VPN to use UDP instead of TCP (will also be a lot faster because of less overhead of the UDP protocol).

    Did you check the automatic firewall rule at the SSL VPN configuration? Did you add your "Internal (Network)" in "local networks"?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    For internet to work over the SSL-connection you'll have to create a masquerading rule from VPN Pool (SSL) -> External (WAN)

    Managing several Sophos UTMs and Sophos XGs both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

    Sometimes I post some useful tips on my blog, see blog.pijnappels.eu/category/sophos/ for Sophos related posts.

  • 0
    Thanks. 
    I try tghis when I get home from work.
  • 0
    now i added the Masquerading rule and my testing device(awin7 whit sophos vpn client) is connected and given a address from the SSL vpn pool 10.242.2.x.
    when activating send all traffic through vpn my public ip is the wan IP at the UTM, so fa so good.

    now this
    192.168.0.x. -> 10.242.2.x
    Ping: No
    smb: no
    anything: NO

    10.242.2.x -> 192.168.0.x
    SMB: yes
    hostname: NO
    ping: yes

    some services is going tho one way and not the other.
    i did a FW rule any-any-any but nothing change
    the SSL setup is set as Internal(network) as Local Networks

    have i forget some settings?
  • 0
    Hi,

    1. The Masquerading rule was
    SSL VPN Pool -> EXT/WAN ADDRESS
    right?

    2. Do you have Ping allowed through Firewall enabled on the NetworkSecurity - Firewall - ICMP tab?

    3. check the logs (firewall, IPS, application control)

    4. how do you have DNS setup for the VPN pool & clients?
    if Linux clients,
    cat /etc/resolv.conf
    and/or try 
    nslookup
    to see which DNS servers are being used.

    Barry
  • 0
    You say you can ping from the VPN-client (10.242.2.x) to your LAN but not reverse. Can it be that your VPN-client also has an active firewall (windows firewall blocks incoming pings by default)?

    Hostnames are usually not reachable over a routed link since they are netbios which is non-routable. You'll have to use DNS for this and correctly set a domain name on the client (the same domain name as in your LAN).

    Managing several Sophos UTMs and Sophos XGs both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

    Sometimes I post some useful tips on my blog, see blog.pijnappels.eu/category/sophos/ for Sophos related posts.

Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML