Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 6024 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How do I give VPN users access to the "other end" of an L2TP site-to-site connection?

yobyot
I hope forum readers will be able to help me configure access for users who VPN in to the UTM 110 via SSL and/or PPTP get access to the "other end" of a running L2TP site-to-site VPN.

Here's what the networks look like:
Internal: 192.168.1.1/24
Remote network connected via L2TP: 192.168.100.0/24
SSL VPN pool: 10.241.1.0/24
PPTP VPN pool: 10.241.2.0/24

All three networks at "this end" are configured in the tunnel and show green in WebAdmin. Local users (on 192.168.1.0/24) can access resources on the remote end (192.168.100.0/24).

But users who VPN into the UTM and receive an SSL or PPTP pool address cannot access the remote end of the site-to-site tunnel.

For example, RDP to the 192.168.100.0/24 network fails for VPN users. Automatic firewall rules are in place that allow any protocol from all local networks to the remote end of the tunnel.

Any hints appreciated.


This thread was automatically locked due to age.
Parents
  • 0
    Is the device at Rackspace also a UTM and do you have access to it?
    If it is another UTM, I was just thinking there could be a routing issue if that device also had Remote Access enabled. As it would cause an issue with the routing, as both devices would be using the same networks for SSL and PPTP. 

    You could login to the UTM via ssh and use tcpdump to see if the traffic is exiting the UTM or if the reply traffic is not being returned. Otherwise you may need to keep the SNATs.
  • 0 in reply to dilandau
    Is the device at Rackspace also a UTM and do you have access to it?
    If it is another UTM, I was just thinking there could be a routing issue if that device also had Remote Access enabled. As it would cause an issue with the routing, as both devices would be using the same networks for SSL and PPTP. 

    You could login to the UTM via ssh and use tcpdump to see if the traffic is exiting the UTM or if the reply traffic is not being returned. Otherwise you may need to keep the SNATs.


    No, the device at the other end is an old Cisco PIX. I don't have direct access to it.

    My first configuration attempt -- and several dozen additional attempts (-: -- tried exactly what is documented here.

    The other end assures me that traffic from the two pool subnets would be routed to the destination subnet at their end (192.168.100.0/24).

    It just plain doesn't work -- though SNAT works great. 

    I can't think of any issues with the other end thinking traffic from the VPN pools originated at the UTM's gateway address, can you?

    So, I think since it works well as is, I'm just going to call it a day.

    I do wish Sophos would add some more examples to the knowledge base. The link above is UTM to UTM and too basic.

    Thanks again.
Reply
  • 0 in reply to dilandau
    Is the device at Rackspace also a UTM and do you have access to it?
    If it is another UTM, I was just thinking there could be a routing issue if that device also had Remote Access enabled. As it would cause an issue with the routing, as both devices would be using the same networks for SSL and PPTP. 

    You could login to the UTM via ssh and use tcpdump to see if the traffic is exiting the UTM or if the reply traffic is not being returned. Otherwise you may need to keep the SNATs.


    No, the device at the other end is an old Cisco PIX. I don't have direct access to it.

    My first configuration attempt -- and several dozen additional attempts (-: -- tried exactly what is documented here.

    The other end assures me that traffic from the two pool subnets would be routed to the destination subnet at their end (192.168.100.0/24).

    It just plain doesn't work -- though SNAT works great. 

    I can't think of any issues with the other end thinking traffic from the VPN pools originated at the UTM's gateway address, can you?

    So, I think since it works well as is, I'm just going to call it a day.

    I do wish Sophos would add some more examples to the knowledge base. The link above is UTM to UTM and too basic.

    Thanks again.
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML