Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 1 subscriber
  • Views 16922 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN inbound thru UTM to 2012 R2 server

justinhow
I am interested in allowing Windows clients to directly VPN or Direct Access to my 2012 R2 server which is on the internal network. Can anyone help me on how I would allow/direct this traffic inbound, rather than the tunnel terminate at the UTM. 
I am familiar with DNAT, firewall rules etc but am not sure if letting VPN through is slightly different than the usual HTTP port 80 type stuff as it can also terminate at the firewall.
Also any big pros and cons as to which is best (tunnel into UTM or internal Server).
Thanks


This thread was automatically locked due to age.
  • 0
    What's the purpose of allowing connections?  RDP?  How many simultaneous users? Is everyone on Win7/8?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob
    It is a very small number of users (1 or 2) mainly for SMB type File Access but also  HTTP, RDP etc.
    All are on Win 8.
    Cheers
    Justin
  • 0
    DOH! - Ignore the following suggestion to use IPsec.  It doesn't work behind a NAT.  I must have been doing too many things at once.

    Justin,

    The fastest in the UTM would be IPsec, then L2TP/IPsec which would be about as fast as the SSL VPN using UDP Protocol.  I prefer the SSL VPN, and use the OpenVPN client on my iPhone.

    You also can use a NAT rule like 'DNAT : Any -> IPsec -> External (Address) : to {2012 R2 server}' to use the WinServer's IPsec VPN, but I prefer to use the UTM's Remote Access tools to keep all un-authenticated traffic outside the network.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thanks that was very helpful.

    So I can just use DNAT to pass VPN protocol through inbound just like any other port if I end up going to Windows Server instead of UTM. Excellent and thanks again.
  • 0
    Yes, DNAT + matching firewall rules (or 'Auto' rule in the DNAT).

    Barry
  • 0 in reply to BarryG
    Thanks to all. 
    New to Sophos UTM and this forum and both seem to deliver very well indeed [:)]
  • 0
    Hi, there.

    I have tried the above recommendation to allow VPN L2TP/IPsec inbound connections to my internal Windows 2012 R2 Remote Access Server (with VPN configured), but it's not working. :-(
    The client is Windows 8.1, using the standard Windows VPN connection wih type of VPN set to L2TP/IPSec.
     
    I don't see any blocked/dropped packets in the firewall live log.

    What else can be wrong?

    I'm sure it has something to do with the UTM configuration beacuse if i make the VPN connection from inside my LAN (without going thru Sophos UTM), it works fine. However, when I try the VPN connection from outside (Internet) it fails with error 789.

    Please, help!!
  • 0
    One more detail: I am running the Essential Firewall Edition on an Hyper-V 2012 R2 VM. 
    I can surf Internet web sites from the internal networks fine.
  • 0
    IPsec traffic can cause the UTM to take Anti-UDP Flooding actions.  I know IPS isn't included with Essential, but 'Anti-DoS/Flooding' might be.  What do you see in the Intrusion Prevention log?  Generally, you should be aware of #1 in Rulz.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi, and thanks for your quick response!
    Neither Intrusion Prevention, Application Control or Advanced Threat Protection are included in Essential. Therefore those logs are empty.

    Any other suggestion? :-(
Unfiltered HTML