Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 8154 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Access Site to Site VPN from Remote Access

bujar.1986
Hi all,

I hope someone can help me about my problem which maybe is very simple but for me it's really hard to do.

I have two astaros, asg 220 and asg 120. Both are connected via vpn site to site. Networks are as follow:
Asg 220: 192.168.70.0/24
Asg 120: 192.168.90.0/24

 I can access without problem networks when I am in any of the asg's network, but when I connect from my laptop from home via remote access to asg 220, I can't access network in asg 120. Please any help will do great job to me.

Thanks in advance


This thread was automatically locked due to age.
  • 0
    I don't know enough about UTM VPNs to know if it should be setting up the correct route for you automatically when you establish your VPN connection, but you can manually create a static route on your laptop with something like 
    route add 192.168.90.0 mask 255.255.255.0 192.168.70.1
     (Substitute the internal IP address of the asg220 if it's not 192.168.70.1)
  • 0
    First of all make sure both UTM's have different Remote access IP-pools, since you want to route from one UTM's pool to the other UTM.
    Second on first UTM you need to add second UTM's network(s) in remote VPN settings and the local UTM's Internal (and also VPN Pool) networks in Local networks.
    On the remote UTM you enter the same subnets but switch remote and local networks.

    And of course create firewall rules (or auto rules) to allow the traffic

    Managing several Sophos UTMs and Sophos XGs both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

    Sometimes I post some useful tips on my blog, see blog.pijnappels.eu/category/sophos/ for Sophos related posts.

  • 0
    jetkins thank you for you fast answer, I tried this but it's not working [:(]
  • 0 in reply to apijnappels
    First of all make sure both UTM's have different Remote access IP-pools, since you want to route from one UTM's pool to the other UTM.
    Second on first UTM you need to add second UTM's network(s) in remote VPN settings and the local UTM's Internal (and also VPN Pool) networks in Local networks.
    On the remote UTM you enter the same subnets but switch remote and local networks.

    And of course create firewall rules (or auto rules) to allow the traffic


    I didn't understand really what you explained me :S
  • 0
    I presume you have a firewall rule on the asg220 that allows, eg, LAN(network) -> Any -> asg120_ LAN(network).  Do you have another rule that allows VPN Pool (your VPN protocol) -> Any -> asg120_LAN(network)?
  • 0 in reply to JonEtkins
    I presume you have a firewall rule on the asg220 that allows, eg, LAN(network) -> Any -> asg120_ LAN(network).  Do you have another rule that allows VPN Pool (your VPN protocol) -> Any -> asg120_LAN(network)?


    Yes I have those rules but still when I ping asg 120 it is still Request timed out.
  • 0
    Hi, pings are regulated on the ICMP settings tab under the Network Security->Firewall page.

    You'll probably need to allow it on/through both firewalls.

    Barry
  • 0
    Again, I'm not sure how much of this should be automated when you set up a Site-to-Site VPN, but I suspect your asg220 is also going to need to know how to route traffic to your asg120 VPN network, so the return packets know how to get back.

    If a route was not automatically created, then you'll probably need to create a static route, type Gateway, network (asg 120 VPN network), gateway (192.168.90.1 or whatever your asg120's IP address is).
  • 0 in reply to apijnappels
    First of all make sure both UTM's have different Remote access IP-pools, since you want to route from one UTM's pool to the other UTM.
    Second on first UTM you need to add second UTM's network(s) in remote VPN settings and the local UTM's Internal (and also VPN Pool) networks in Local networks.
    On the remote UTM you enter the same subnets but switch remote and local networks.

    And of course create firewall rules (or auto rules) to allow the traffic


    This is the correct advice, if you are accessing the 220 remotely the Remote VPN pool will need to added to the Site-to-Site configuration. On the 220 as a local network and on the 120 as a remote network. Alternatively, you can create a SNAT for the remote access network on the 220 to make it appear as the traffic is coming from the Internal network on the 220.
  • 0
    Did you solve your problem? If not then please look at this document in the sophos knowledgebase

    Sophos UTM 9.3 Certified Engineer
    Sophos UTM 9.3 Certified Architect
    Sophos XG v.15 Certified Engineer
    Sophos XG v.17 Certified Engineer
    Sophos XG v.17 Certified Architect

Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML