Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1398 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

List OpenVPN Connections for Site to Site?

larray
I have been poking around the posts and I haven't been able to come up with an answer... I'm not sure the issue has ever come up.

I have a home license that I administer for myself.  I've been so thrilled with the product and its features (namely spam killing and remote access) that I've sold my family on it.  My father has a home built system and I have built one for my father-in-law. 

My next logical step - SITE TO SITE! (Really more me wanting to learn about the features and seeing how I can tie it all together).

The other day I changed some configurations and I when I looked in the Firewall logs several days later I could see that there was a host in the OpenVPN subnet (10.242.x.x) that were banging away on the firewall.  It wasn't my mobile phone, it wasn't my office to home connection - I could see those IPs in the Remote Access tab "Online Users".  At first I thought that I had some form of intruder, until I realized that my S2S connections used the same IP range.  

However, I could find no way to identify the offending endpoint.  (I had misconfigured DNS lookups on one of the remote sites)  The only way I could identify the host was to disable the SSL S2S connection for each site and watch the firewall log to make sure it stopped.  That isn't really a feasible solution when you start adding multiple sites.. so how exactly do I determine who the affected endpoint is?  The S2S VPN tunnel status only lists the WAN and internal IP subnets, but not the tunnel addresses.

Thanks,
Andy


This thread was automatically locked due to age.
Parents
  • 0
    Andy, look in the SSL VPN log file for the IP you suspect.  

    I would suggest using IPsec with AES 128 PFS and X509 certificates for Site-to-Site connections.  Faster and much less confusing once you have it configured.  Start with a PSK, but move to X509 after you get things going with the PSK.

    If you decide to stay with SSL VPN, I would suggest that you switch from TCP to UDP to speed things up and to reduce potential conflicts.  Doing this will require loading the configuration files back into the clients again.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Andy, look in the SSL VPN log file for the IP you suspect.  

    I would suggest using IPsec with AES 128 PFS and X509 certificates for Site-to-Site connections.  Faster and much less confusing once you have it configured.  Start with a PSK, but move to X509 after you get things going with the PSK.

    If you decide to stay with SSL VPN, I would suggest that you switch from TCP to UDP to speed things up and to reduce potential conflicts.  Doing this will require loading the configuration files back into the clients again.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Hey Bob!  

    Thanks for chiming in... If you are referring to "Logging & Reporting" -> View Log Files -> SSL VPN, that log doesn't actually contain any of the private 10.242.x.x range IPs, either for the road warrior connections or the S2S connections.  I can get the road warrior connection IPs from the "Remote Access" tab, but that is only for the client connections, not S2S... hence my conundrum.

    I have optimized my S2S using UDP already after previous research when I set it up a year + ago, but thanks for the reminder for anyone who follows.  I chose OpenVPN/SSL S2S because it was dead simple to set up.  However, now that I'm finding that the IPs are in a shared pool with the client connections, I might re-evaluate that decision.  It would at least allow me to segregate traffic rules between road warrior (me) and S2S traffic (were I might want to block TCP 135, etc).

    Really the question was more academic - something has to know about the tunnel endpoints for S2S - I'm not enough of a Linux/Unix/OpenVPN guru - but I thought for anyone who might be administering several Sophos endpoints it might be worth answering/considering how to track those connections.
Unfiltered HTML