Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 1894 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

v7 120 SSL VPN Server: not as firewall / router

stefanzman
This customer had been using the SOPHOS UTM 120 as the primary firewall until only a few days ago. 

For reasons that I cannot currently explain, they reverted to using the ATT modem as the primary firewall, and they want the UTM 120 to still provide the SSL VPN server features. 

They have multiple static public IPs, so I setup UTM 120 with a separate public IP and gave it a static internal IP on the same LAN/ subnet managed by the ATT device. The SSL VPN client connects successfully, but it can only see _ping_ the internal LAN ip of the UTM 120. It cannot see any of the other machines on the LAN. 

I have made sure that the packet filter rules allow SSL VPN POOL LAN. I can ping the other machines successfully on the LAN directly from the UTM 120. What am I missing here? Is there some other routing that needs to be created when the UTM device is the VPN server but *not* the router / firewall? Thanks for your help


This thread was automatically locked due to age.
  • 0
    So under Remote Access | SSL | Profiles | Edit
    Under Local Networks, you added your LAN network to the list, then check marked the Automatic Firewall rules?
  • 0 in reply to NewImage
    So under Remote Access | SSL | Profiles | Edit
    Under Local Networks, you added your LAN network to the list, then check marked the Automatic Firewall rules?


    Yes. Bear in mind that it is the same LAN configuration that was working before, and the 120 is still on this LAN. 

    The only difference is that it is no longer acting as the firewall / gateway for the LAN. The 120 now has a separate public IP on the WAN but it is still hanging off the same internal LAN. 

    The other machines on the LAN, are no longer using the 120's internal IP as the default gateway. I am thinking this might be part of the problem?
  • 0
    Yes, if the internal machines don't have a route to the UTM for VPN traffic, it won't work.

    Barry
  • 0 in reply to BarryG
    Yes, if the internal machines don't have a route to the UTM for VPN traffic, it won't work.

    Barry


    I thought that a VPN server could exist behind an existing router / firewall / gateway. Can't the 120 be configured just to provide VPN server capabilities?
  • 0
    Hi, stefanzman, and welcome to the User BB!

    There are two easier solutions.

    1. Add a route in the AT&T device '{VPN Pool (SSL) subnet} -> {IP of Internal (Address)'.

    or, a less elegant solution,

    2. In the UTM, masquerade VPN Pool (SSL) -> Internal.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Excellent. This got me most of the way there. Once I created the (non-elegant) VPN SSL to Internal rule, and that allow me to access internal LAN machines from the Remote Clients. The strange thing is that the LAN machines could not see back to the Remote Clients. So - could ping any internal machine from a remote PC, but they could not ping back to any of the connected IPs of the VPN SSL pool.

    Is this something else I need to check?
  • 0
    Yes, that is one of the shortcomings of masquerading. If you want to ping both ways, you have to use the more elegant solution instead. [;)]

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML