Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 11362 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Remote access (PPTP) Not accessing internal resources

TripleD
Hi Everyone,

I started looking for a TMG replacement recently and my search brought me to Sophos UTM as an alternative option.
I've downloaded the 30 days trial so I can evaluate it to see if it's right for the company, but I'm really struggling getting the Remote Access VPN to work!

Keeping it simple I thought I'd go the PPTP route as a first test, and followed this guide: http://www.sophos.com/en-us/medialibrary/PDFs/documentation/utm90_Remote_Access_Via_PPTP_geng.pdf
Now I have the PPTP setup to authenticate via my Radius server, and assigned IP addresses by my DHCP server (Also tried the IP address pool).

I created the firewall rule that allowed 'Radius Users' to access the Internal Network.
'Remote Access > Advanced' is configured correctly.
I skipped the Masquerading rule as our VPN users shouldn't be using the VPN for internet access.

My Client is Windows 8.1 and I've setup a new VPN connection. It prompts for username and password ... connects fine, and gives me an IP address.

Now I try to access some resources on my remote network via name or IP address and neither are coming back!
Is there something else I'm missing in the config to allow me to access file shares etc on the remote network?


This thread was automatically locked due to age.
  • 0
    Hi, TripleD, and welcome to the User BB!

    "assigned IP addresses by my DHCP server " - I'll avoid an explanation about why, but that won't work.  Just use "VPN Pool (PPTP)" with it's original setting of 10.242.1.0/24.

    The firewall rule should be 'VPN Pool (PPTP) -> Any -> Internal : Allow'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    Thanks for your reply, I've made the changes, it still connects but still doesn't allow me to see the local servers.
    Is it worth trying a different method? maybe SSL VPN is easier?
  • 0
    PPTP is the easiest.  Try #1 in Rulz and post any lines that seem related to your issue.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob, I've been testing some more tonight when I got home. nothing really appears in the log files that's worth while, just standard connections.

    I did have a small break through, if I change the PPTP Pool to match my Internal Works network range (aka. 192.168.1.0/24) then I can now access the internal network.
    Do I need to setup some NAT between VPN Pool and Internal Network?

    cheers, Dave.
  • 0
    if you need NAT to reach internal devices, you have an error in your configuration.

    You should use what I described in #2 above.

    See #3.1 in Rulz:  If your internal device doesn't respond, it's probably because it doesn't have the IP of the UTM's "Internal (Address)" as its default gateway.  If you don't want to set the UTM as the default gateway for all of your devices, then you'll need a route in the other router that aims traffic for the "VPN Pool (PPTP)" at the IP of the UTM's "Internal (Address)."

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    See #3.1 in Rulz:  If your internal device doesn't respond, it's probably because it doesn't have the IP of the UTM's "Internal (Address)" as its default gateway.  


    True all VPN's have no default gateway, but clicking around it's not obvious how to set the default gateway .. surely this would be in the Network Definitions for the VPN Pool (PPTP)? But it's not.
  • 0
    Do not set the PPTP pool to the same IP range like your internal network. this will cause bad routing and duplicate IP issues!

    You have two possibilities:
    1. Use a separate IP pool outside your internale network. Then create a firewall rule allowing traffic from "PPTP pool" to "Internal (Network)".
    2. Use your internal DHCP server. In this case you need a firewall rule allowing traffic from "Internal (Network)" to "Internal (Network)"!

    True all VPN's have no default gateway, but clicking around it's not obvious how to set the default gateway .. surely this would be in the Network Definitions for the VPN Pool (PPTP)? But it's not.

    Bob was talking about your internal servers. They need to have your UTM set as Default Gateway. Alternatively they need a route set to the PPTP pool via your UTM (in this case you can't use your internal DHCP server).

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking

    You have two possibilities:
    1. Use a separate IP pool outside your internale network. Then create a firewall rule allowing traffic from "PPTP pool" to "Internal (Network)".
    2. Use your internal DHCP server. In this case you need a firewall rule allowing traffic from "Internal (Network)" to "Internal (Network)"!


    I'm trying to run with the 1st possibility, I was looking at possibility 2 but Bob quoted in post #2 ""assigned IP addresses by my DHCP server " - I'll avoid an explanation about why, but that won't work. Just use "VPN Pool (PPTP)" with it's original setting of 10.242.1.0/24."
  • 0 in reply to scorpionking
    TripleD.  If I understand what you are saying, I had a similar problem.  If I completely mis-understood, just disregard this post [:)]  

    First and foremost, I never got PPTP to work properly.  After hours on the phone with Sophos support, they convinced me to use SSL VPN, which authenticates via AD.

    Here is my situation, and the fix from a Sophos tech support.  Seems like it might be relevant....

    Problem
    -Users VPN to Sophos at main site using VPN pool IP addresses
    -Users need to access secondary site, which houses a file server, and is connected to the main sites UTM via a Site-to-site tunnel
    -No configuration got this to work

    Fix
    -Add SNAT rule to change all VPN Pool traffic from its given IP to the internal address of the main site.
    -This assumes you have a FW rule allowing the two sites to talk to one another



    This was also provided to me as a resource, but it never worked, maybe because the remote site isn't using a UTM.  http://www.sophos.com/en-us/support/knowledgebase/115734.aspx

    -Jim
  • 0
    Jim, that last link is to an article I wrote.  The "trick" in the article is to be certain that the "VPN Pool (PPTP)" at Site 1 is added to the site-to-site tunnel and that "VPN Pool (PPTP)" doesn't conflict with any subnets at Site 2.

    To add "VPN Pool (PPTP)" to the site-to-site tunnel requires adding it to 'Local networks' in the IPsec Connection in Site 1 and to the equivalent of 'Remote networks' in Site 2.

    You're right, that if you can't change the configuration at Site 2, the only solution is NAT.  Rather than a masquerading rule that NATs all traffic from "VPN Pool (PPTP)," I prefer to use a rule that just NATs the traffic to the other site like 'SNAT : VPN Pool (PPTP) -> Any -> {Site 2 Network} : From Internal (Address)'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML