Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1457 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN Issue on UTM 9

Wazza
Hi Guys 

Im new to the Forum and new to UTM 

i have setup a trial UTM 9 and have configured ssl vpn 
everything connects fine but i am unable to ping my local network once connected 

i am using the sophos ssl vpn client , i did install it as Admin and have tried running it as administrator

i configured the ssl vpn to use interface any on 443 , i did use the Overide Hostname , the users& groups is using AD users and local network is internal network 

once connected if i tracroute to a local hostname it does resolve the hostname from IP will get to the first hop which is 10.242.2.1 but then fails after that 

i can also not see anything in the firewall log when using live log

below is the log of a vpn connect 

any advise or help will be greatly appreciated 

Regards

Warren

Mon Mar 17 15:03:28 2014 OpenVPN 2.3.0 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [IPv6] built on Aug 23 2013
Enter Management Password:

Mon Mar 17 15:03:44 2014 [SophosUTM] Peer Connection Initiated with [AF_INET]41.161.11.234:443
Mon Mar 17 15:03:45 2014 MANAGEMENT: >STATE:1395061425,GET_CONFIG,,,
Mon Mar 17 15:03:46 2014 SENT CONTROL [SophosUTM]: 'PUSH_REQUEST' (status=1)
Mon Mar 17 15:03:47 2014 PUSH: Received control message: 'PUSH_REPLY,route 10.242.2.1,topology net30,ping 10,ping-restart 120,route 10.0.0.0 255.255.255.0,dhcp-option DNS 10.0.0.1,dhcp-option DNS 10.0.0.6,dhcp-option DOMAIN lgrtelecoms.com,ifconfig 10.242.2.6 10.242.2.5'
Mon Mar 17 15:03:47 2014 OPTIONS IMPORT: timers and/or timeouts modified
Mon Mar 17 15:03:47 2014 OPTIONS IMPORT: --ifconfig/up options modified
Mon Mar 17 15:03:47 2014 OPTIONS IMPORT: route options modified
Mon Mar 17 15:03:47 2014 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Mon Mar 17 15:03:47 2014 ROUTE_GATEWAY 10.168.247.241/255.255.255.252 I=8 HWADDR=00:a0:c6:00:00:00
Mon Mar 17 15:03:47 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Mar 17 15:03:47 2014 MANAGEMENT: >STATE:1395061427,ASSIGN_IP,,10.242.2.6,
Mon Mar 17 15:03:47 2014 open_tun, tt->ipv6=0
Mon Mar 17 15:03:47 2014 TAP-WIN32 device [Local Area Connection 2] opened: \.\Global\{E23284C6-8AE9-49DE-BFC6-FE84141DEE68}.tap
Mon Mar 17 15:03:47 2014 TAP-Windows Driver Version 9.9 
Mon Mar 17 15:03:47 2014 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.242.2.6/255.255.255.252 on interface {E23284C6-8AE9-49DE-BFC6-FE84141DEE68} [DHCP-serv: 10.242.2.5, lease-time: 31536000]
Mon Mar 17 15:03:47 2014 Successful ARP Flush on interface [49] {E23284C6-8AE9-49DE-BFC6-FE84141DEE68}
Mon Mar 17 15:03:51 2014 TEST ROUTES: 3/3 succeeded len=3 ret=1 a=0 u/d=up
Mon Mar 17 15:03:51 2014 MANAGEMENT: >STATE:1395061431,ADD_ROUTES,,,
Mon Mar 17 15:03:51 2014 C:\Windows\system32\route.exe ADD 41.161.11.234 MASK 255.255.255.255 10.168.247.241
Mon Mar 17 15:03:51 2014 Route addition via service succeeded
Mon Mar 17 15:03:51 2014 C:\Windows\system32\route.exe ADD 10.242.2.1 MASK 255.255.255.255 10.242.2.5
Mon Mar 17 15:03:51 2014 Route addition via service succeeded
Mon Mar 17 15:03:51 2014 C:\Windows\system32\route.exe ADD 10.0.0.0 MASK 255.255.255.0 10.242.2.5
Mon Mar 17 15:03:51 2014 Route addition via service succeeded
Mon Mar 17 15:03:51 2014 Initialization Sequence Completed
Mon Mar 17 15:03:51 2014 MANAGEMENT: >STATE:1395061431,CONNECTED,SUCCESS,10.242.2.6,41.161.11.234


This thread was automatically locked due to age.
  • 0
    Hey mate,

    I've got the exact same issue on a hardware appliance also. And I've got the exact same setup at home and one other site with everything working 100% 

    I'm running 9.109-1

    I've gone into the auto firewall rule and enabled logging and can see it hitting the firewall but there is no route back by the looks of things.

    So I created a masquerade rule and still the same issue [:(]

    The only difference for me between the new deployment and the other sites is that there is a whole /27 IP range on this setup where as the other deployments just are on a standard ADSL.

    Another weird thing is that the Cisco IPsec setup works out of the box :/
  • 0
    well I have found my fix, and its quite easy... 

    Anyways just make sure the connection name is not the same as your login name, that seemed to be the issue for me and I have tested this several times. deleting and recreating the ssl vpn connection

    hope this works for you?

    Cheers,
    Az
  • 0
    Guys, I'm not following any of this.

    Warren, please [Go Advanced] and attach a picture of 'Remote Access >> Advanced'.

    Az, What do you mean by "make sure the connection name is not the same as your login name?"

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Guys, I'm not following any of this.  Warren, please [Go Advanced] and attach a picture of 'Remote Access >> Advanced'.  Az, What do you mean by "make sure the connection name is not the same as your login name?"  Cheers - Bob


    Hi Bob sorry only saw this post now 

    I did indeed come right once I got my head around the way the firewall works 
    I was incorrectly trying to apply the input chain output chain mentality to it that I would use with iptables 

    And I must agree once the penny drops it's way easier this way than in iptables 

    Regards 

    Warren
Unfiltered HTML