Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 3944 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can a Sophos UTM be used as a VPN Gateway from behind a NAT?

PupTrio
Hello, long time reader, first time poster.

Situation:
I am a Network Administrator for a company and attached is a photo of both our MPLS and Internet. So, naturally we are completely down. This includes our PRI and POTS lines.


Although we use Cisco ASA's at all of our 6 sites, I am a huge UTM fan. I talked my manager into loading a UTM on a PC, and hanging 3 Air Cards on it, and load balancing them. While the stability of the cards leaves room for improvement, it does function.

Next I need to setup 2 VPNs. Site2Site is out because the Air Cards have me behind a NAT. I have used the client/server SSL VPN between 2 UTMs in the past, but this is the only UTM available.

My question is this;
Is there a way to use the UTM as a VPN Gateway to an ASA from behind a NAT?

The ASA's I need to connect to do have client VPNs setup. Not sure if this will solve the issue.

Thank you for taking the time to read this post.

-Matt


This thread was automatically locked due to age.
  • 0
    Hi, Matt, and welcome to the User BB!

    I had a sandbox open, so I looked at your pic there - OMG - that belongs in the dictionary beside the word "toasted!" [:D]  First, please edit your post above, delete your external link, click on [Go Advanced] and attach your pic to your post.  Thanks - the only malware I've gotten in the last ten years was when I trusted an external link here. [:O]

    I don't know enough about configuring the ASAs.  The issue you have is that NAT "breaks" IPsec unless you make one of two adjustments, depending on which is easier:
    [LIST=1]In each ASA, the default will be the public IP NATted to the UTM.  Configure to have the ASA expect the private IP of the UTM to be the VPN ID.
    • Configure each ASA to wait to be contacted by the UTM ("Respond only").
    [/LIST]
    If "client VPNs setup" means what I think it does, #2 would seem to be a slam dunk.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Thank you. I will give the respond only a try unless my manager comes up with something else he wants. We also have an Air Card inbound with a static IP.

    The Cisco ASA Client that I am referring to is for workstations to connect via the Cisco VPN Client.

    Thanks again.
  • 0
    The server that the ASA runs for Cisco clients is comparable to the one the UTM runs in 'Remote Access' for Cisco clients, so that won't be of much help.  The situation is very similar though.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Thank you. As it turns out we had our services restored before we could get back to this. 

    Some day I will see if respond only works. 

    Thanks again. 

    -Matt
Unfiltered HTML