Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1894 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

remote access connectivity to remote network

alehman
We recently replaced a site-to-site VPN with a new carrier MPLS connection. The carrier's MPLS router is connected to a port on an ASG at each office.

We seem to have full connectivity between the LAN's, but SSL remote access users can not see the remote LAN. (They were able to via the previous site-to-site VPN.)

I have created static routes and FW rules at each ASG for all traffic to the remote office via the customer port on the local MPLS router. The remote office LAN is in the "Local networks" list of the remote access profile.

A traceroute from remote access laptop stops at local ASG (1st IP of the VPN pool). There is no evidence of packets being dropped in the FW log, but to be sure I tried adding a temporary any-any firewall rule to the top of the list at each end, but it made no difference.

Any ideas would be most appreciated!


This thread was automatically locked due to age.
  • 0
    Hi, please post a network diagram, and make sure you have traceroute allowed on the ICMP page.

    Barry
  • 0
    Thanks for the reply. Here's the configuration: 

    remote access user--- ISP rtr2--- ASG2 --- MPLS rtr2 ------- MPLS rtr1 --- ASG1

                                       |                                         |

                                      LAN2                                     LAN1


    Remote access user needs to access hosts on LAN1, but currently cannot.
    Tracreroute and ping are enabled on both ASG's.

    Previously we had a site-to-site SSL VPN between ASG1 and ASG2, which worked. Traceroute from remote access user apparently ends at ASG2. Hosts on LAN2 can access LAN1 and vice-versa.
  • 0
    OK...

    I'd say double-check the VPN configs again, including the Remote Networks and Local Networks on both ends.

    Also check the logs: firewall (again), IPS, application control.

    Barry
  • 0
    I'm still stuck on this one. I've confirmed with my MPLS provider that they have added routes required for the remote access networks.

    I have checked that the remote LAN and VPN pool is in the local networks list at each end and I see what appears to be a correct route in the routing tables:

    ASG1:
    [ASG2 VPN pool] via [MPLS rtr1] dev eth4  proto static  metric 5

    ASG2:
    [ASG1 VPN pool] via [MPLS rtr2] dev eth2  proto static  metric 5 


    A traceroute from "remote access user" to a host on LAN1 ends at ASG2:
    Tracing route to ofs.win.gbutler.com [172.16.10.1]   

    But works for a host on LAN2:
    Tracing route to LDC1.win.gbutler.com [172.16.4.65]   
  • 0
    I bet your problem is your MPLS supplier's routing configuration.  What happens if you create a NAT rule in ASG2 like the following?

    SNAT : username (User Network) -> Any -> LAN1 : from Internal (Address)


    If that starts the traffic, the MPLS folks aren't done yet. [;)]

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML