Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 3948 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can a Sophos UTM be used as a VPN Gateway from behind a NAT?

PupTrio
Hello, long time reader, first time poster.

Situation:
I am a Network Administrator for a company and attached is a photo of both our MPLS and Internet. So, naturally we are completely down. This includes our PRI and POTS lines.


Although we use Cisco ASA's at all of our 6 sites, I am a huge UTM fan. I talked my manager into loading a UTM on a PC, and hanging 3 Air Cards on it, and load balancing them. While the stability of the cards leaves room for improvement, it does function.

Next I need to setup 2 VPNs. Site2Site is out because the Air Cards have me behind a NAT. I have used the client/server SSL VPN between 2 UTMs in the past, but this is the only UTM available.

My question is this;
Is there a way to use the UTM as a VPN Gateway to an ASA from behind a NAT?

The ASA's I need to connect to do have client VPNs setup. Not sure if this will solve the issue.

Thank you for taking the time to read this post.

-Matt


This thread was automatically locked due to age.
Parents
  • 0
    Hi, Matt, and welcome to the User BB!

    I had a sandbox open, so I looked at your pic there - OMG - that belongs in the dictionary beside the word "toasted!" [:D]  First, please edit your post above, delete your external link, click on [Go Advanced] and attach your pic to your post.  Thanks - the only malware I've gotten in the last ten years was when I trusted an external link here. [:O]

    I don't know enough about configuring the ASAs.  The issue you have is that NAT "breaks" IPsec unless you make one of two adjustments, depending on which is easier:
    [LIST=1]In each ASA, the default will be the public IP NATted to the UTM.  Configure to have the ASA expect the private IP of the UTM to be the VPN ID.
    • Configure each ASA to wait to be contacted by the UTM ("Respond only").
    [/LIST]
    If "client VPNs setup" means what I think it does, #2 would seem to be a slam dunk.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Hi, Matt, and welcome to the User BB!

    I had a sandbox open, so I looked at your pic there - OMG - that belongs in the dictionary beside the word "toasted!" [:D]  First, please edit your post above, delete your external link, click on [Go Advanced] and attach your pic to your post.  Thanks - the only malware I've gotten in the last ten years was when I trusted an external link here. [:O]

    I don't know enough about configuring the ASAs.  The issue you have is that NAT "breaks" IPsec unless you make one of two adjustments, depending on which is easier:
    [LIST=1]In each ASA, the default will be the public IP NATted to the UTM.  Configure to have the ASA expect the private IP of the UTM to be the VPN ID.
    • Configure each ASA to wait to be contacted by the UTM ("Respond only").
    [/LIST]
    If "client VPNs setup" means what I think it does, #2 would seem to be a slam dunk.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Unfiltered HTML